目录
靶场下载地址:https://www.vulnhub.com/entry/dc-1,292/
1. 侦查
1.1 收集目标网络信息:IP地址
靶机启动后,没有提供IP地址。由于Kali和靶机在同一个C段,可以扫描ARP协议获取靶机IP地址。
1.2 主动扫描:扫描IP地址段
对靶机进行全端口扫描、服务扫描、版本扫描,发现22/SSH、80/HTTP。
2. 初始访问
2.1 利用面向公众的应用
80/HTTP是 Drupal 7 内容管理系统,searchsploit发现该版本存在多个Nday漏洞。
逐个尝试不同POC,最终可以获得www-data用户权限。
3. 权限提升
3.1 滥用特权控制机制:Sudo和Sudo缓存
find命令存在suid权限,可用于提权,可以获得root用户权限。
4. 夺旗之旅
夺旗之旅发生在获得www-data用户权限之后,获得root用户权限之前。
4.1 flag1
获得www-data用户权限之后,在当前目录下发现flag1,提示可以去找配置文件。
4.2 flag2
全盘搜索配置文件,逐个查看,获得flag2,提示可以利用配置文件中的帐号密码。
4.3 flag3
利用配置文件中的帐号密码登录MySQL后,在drupaldb库的users表中看到Drupal的admin用户的密文密码。
官网查到重置密码的方法,可以自己生成密文密码,替换掉数据库中的密文密码。
用替换后的帐号密码 admin/OneMoreThink 登录Drupal,在Content看到flag3,提示可以利用具有特殊权限的find命令的exec参数查看shadow文件。
4.4 flag4
find命令具有root用户的suid权限,在执行时是以root用户的权限执行,能查看shadow文件获得密文密码。
爆破密文密码,获得flag4用户的明文密码,登录后在家目录下发现flag4,提示可以用查看shadow文件的方法查看root用户家目录下的flag文件。
4.5 thefinalflag
使用相同方法,查看root用户家目录下的flag文件名称,并将文件内容打印出来,获得thefinalflag。
原文始发于微信公众号(OneMoreThink):攻防靶场(33):一个夺旗比getshell好玩的靶场 DC-1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论