Vulnhub-DC1靶机渗透

0x00 背景

DC1靶机从web到root权限最后得到finalflag

0x02 信息搜集

1. 局域网探测
   
2. nmap扫描
   
3. 查看80端口
   
4. 查看该cms历史漏洞
   

0x03 漏洞利用

5. drupal 6，7，8多个版本存在远程代码执行，上msf
   
   
   
   拿到meterpreter。

0x04 提权之路

在网站根目录，这里能发现flag1.txt

drupal的数据库配置文件在sites/default/settings.php

cat settings.php

这里发现flag2

获取数据库用户名和密码。
执行如下命令

meterpreter > shell
python -c "import pty;pty.spawn('/bin/bash')"
www-data@DC-1:/var/www/sites/default$ //执行完之后可获得python提供的标准shell

登陆mysql


库内有很多表，关注user表


应该注意到的是密码的加密是用了该cms特有的hash算法。找hash文件。

scripts录有password-hash.sh文件。思路为用该文件生成自己的密码hash值替换数据库hash，达到登陆后台的目的。
这里一些依赖的问题不能生成密码hash。也就不能登陆后台。在后台登陆能够发现flag3.

看一下家目录，发现flag4

我们最终的目的是进入/root目睹读到最终flag，但现在权限不够。

该搞得也差不多了。尝试脏牛提权。查看系统版本

版本号3.2.0好像提不了。也尝试了一下，确实不能提权。
追后学到一招suid提权。

尝试找到具有root权限的suid

当然用roothelper.sh也可以查找，更准确全面。可以看一下最后的参考文章。

0x06 find提权

可以看到find命令以root权限运行。

反弹shell

本地主机监听目标机9999端口

进入root目录

可以看到现在euid，groups为root权限。
可以了解一下UID,SUID,EUID等的区别。

0x07 参考

https://www.jianshu.com/p/b659f4619c88