DroopyCTF靶机渗透

admin 2025年1月11日13:41:56评论3 views字数 2277阅读7分35秒阅读模式

目录

1.靶机介绍2.端口发现3.访问WEB4.目录扫描5.Drupal漏洞利用6.渗透测试7.提权8.获得flag9.总结

1、靶机介绍

靶机下载地址:https://www.vulnhub.com/entry/droopy-v02,143/
靶机提示:
Description
Welcome to Droopy. This is a beginner's boot2root/CTF VM.
The VM is set to grab a DHCP lease on boot。
There's 2 hints I would offer you:
1.) Grab a copy of the rockyou wordlist。
2.) It's fun to read other people's email。
靶机IP:10.8.0.108

2.端口发现

扫描靶机信息,发现只开放了80端口
DroopyCTF靶机渗透

3.访问WEB

访问WEB,发现是个登录界面,尝试了下弱口令,万能密码都没有结果,那就先放一放
DroopyCTF靶机渗透

4.目录扫描

目录扫描,好多啊。。。
DroopyCTF靶机渗透
DroopyCTF靶机渗透
依次查看这些目录,只在http://10.8.0.108/CHANGELOG.txt发现了Drupal版本应该是7.30,无其他可用信息
DroopyCTF靶机渗透
记得Drupal7.X版本存在远程代码执行漏洞,查一下
DroopyCTF靶机渗透

5.Drupal漏洞利用

启动msf,search drupal,1为表单API注入,WEB也是一个登录表单,可以尝试一下
DroopyCTF靶机渗透
use unix/webapp/drupal_drupalgeddon2攻击模块,查看需要设置的参数
DroopyCTF靶机渗透
set rhosts 10.8.0.108设置目标ip地址,run,成功得到meterpreter
DroopyCTF靶机渗透

6.渗透测试

升级一下shell,python -c 'import pty;pty.spawn("/bin/bash")'
DroopyCTF靶机渗透
查看当前所有文件,sites/default/settings.php是个配置文件,在文件最下方记录了本机有一个drupal数据库,用户名为drupaluser,密码为nimda。
DroopyCTF靶机渗透
DroopyCTF靶机渗透
利用用户名drupaluser,密码nimda,成功登录mysql数据库。
DroopyCTF靶机渗透
在drupal数据库中找到users表
DroopyCTF靶机渗透
DroopyCTF靶机渗透
DroopyCTF靶机渗透
DroopyCTF靶机渗透
在users表里查找到了用户drupaladmin,密文密码$S$Ds5SgCrqwrbxJY36HldOHA3C9wWH0W3DXMkHSXBb7SsYVfhhlM7s,邮箱[email protected]
DroopyCTF靶机渗透
将$S$Ds5SgCrqwrbxJY36HldOHA3C9wWH0W3DXMkHSXBb7SsYVfhhlM7s写入到1.txt,使用提示的rockyou.txt字典,破解出密码为Password1。
DroopyCTF靶机渗透
DroopyCTF靶机渗透
利用用户名drupaladmin和密码Password1,成功登录WEB,继续搜集信息。
DroopyCTF靶机渗透
一番找到后没有任何提示,还是回到shell再看看吧,又查找了好久也没有可利用的。。。最后只能尝试查询一下系统漏洞了
DroopyCTF靶机渗透

7.提权

searchsploit linux 3.13 ubuntu 14.04查找到符合条件的exp,linux/local/37292.c
DroopyCTF靶机渗透
将37292.c保存到本地,查看下靶机有gcc
DroopyCTF靶机渗透
DroopyCTF靶机渗透
本机开启http服务,靶机下载37292.c到/tmp下
DroopyCTF靶机渗透
DroopyCTF靶机渗透
赋权,执行,获得了root权限
DroopyCTF靶机渗透
DroopyCTF靶机渗透
DroopyCTF靶机渗透
本以为可以结束了,但是进入root目录下,只有一个dave.tc文件,并没有flag文件
DroopyCTF靶机渗透

8.获得flag

find / -type f -name "flag*"没有查找到flag,想到之前提示查看mail,是提示密码不超过11个字符包含academy,字典rockyou,没有其他线索了,那应该是对/root下的dave.tc解密
DroopyCTF靶机渗透
DroopyCTF靶机渗透
查看root下dave.tc文件,显示乱码,只能下载下来查看一下,先升级下shell,利用nc下载到本机,strings看了一下,没看出来是什么文件
DroopyCTF靶机渗透
DroopyCTF靶机渗透
DroopyCTF靶机渗透
经过查询.tc文件是一个磁盘文件,可以用veracrypt解密,下载安装veracrypt
DroopyCTF靶机渗透
DroopyCTF靶机渗透
先利用cat /usr/share/wordlists/rockyou.txt | grep academy > dic.txt,过滤出包含academy的密码写入到新的字典dic.txt内
DroopyCTF靶机渗透
得到密码etonacademy
DroopyCTF靶机渗透
DroopyCTF靶机渗透
点击磁盘1,选择dave.tc文件,点击自动加载设备,输入密码etonacademy,选择HMAC-SHA-512,然后选择TrueCrypt模式,需要输入系统管理员密码
DroopyCTF靶机渗透
进入到/media/veracrypt1/目录下,发现.secret目录
DroopyCTF靶机渗透
DroopyCTF靶机渗透
进入.secret又发现.top
DroopyCTF靶机渗透
进入.top终于看到flag了
DroopyCTF靶机渗透
需要root权限才可以查看flag.txt,总算拿到flag了。
DroopyCTF靶机渗透

9.总结

很有难度的一个靶场,打了好几天,走了好多弯路啊,不过有学习到了新的思路和知识点。

本文作者:hailong86, 转载请注明来自FreeBuf.COM

———————

【2022HW系列】|10-一次某次攻防演练种的分析溯源

【2022HVV系列】|9-红蓝对抗-红队打点的那些事

【2022HVV系列】|8-应急响应之入侵排查

【2022HVV系列】|7-Windows主机入侵痕迹排查办法

【2022HVV系列】|6-记一次hw中的上线骚姿势(异速联+用友U8)

【2022HVV系列】|5-记一次溯源过程

【2022HVV系列】|4-红蓝对抗 | 红队打点的那些事

【2022HVV系列】|3-服务器入侵排查

【2022HVV系列】| 2-应急响应常用工具

【2022HVV系列】| 1-应急响应方法论思维导图

————————————————

原文始发于微信公众号(Hacking黑白红):DroopyCTF靶机渗透

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月11日13:41:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DroopyCTF靶机渗透https://cn-sec.com/archives/1203077.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息