Vulnhub_DC1 记录

Vulnhub_DC1 记录

目录
  • Vulnhub_DC1 记录
    • 经验 & 总结
    • 步骤流水
      • 1. 建立立足点
      • 2. 提权
      • 3. 主机信息搜集
      • 4. 继续提权
      • 5. 消失的flag

参考walkthrough

Vulnhub_DC1 记录_第1张图片

Vulnhub_DC1 记录_第2张图片

经验 & 总结

  1. 对Drupal这个架构还是不熟悉,找配置文件找了半天,最后还是靠搜索引擎。
  2. MSF框架搜索出来的攻击exp好几个,得想想办法批量测试(虽然真实项目应该遇不到,但是能偷一点懒是一点嘛)
  3. 距离上一次做靶机已经有一段时间了,中间这段时间也没有看相关的内容,手有点生了。真的是业精于勤荒于嬉

步骤流水

  1. 网络扫描,确定靶机IP(我的netdiscover好像有问题,扫描提示完成之后需要等一会儿才能显示结果)。

    Vulnhub_DC1 记录_第3张图片

  2. 端口扫描

    端口 描述
    22 SSH
    80 apache2.2.22、Drupal
    111 rpcbind
    44237 RPC

    111和44237没见过

    Vulnhub_DC1 记录_第4张图片

1. 建立立足点

  1. 涨知识了

    Vulnhub_DC1 记录_第5张图片

    大概意思是:apache保护文件名中带有.ht的文件不被下载

    感兴趣的页面xmlrpc.php

    Vulnhub_DC1 记录_第6张图片

  2. 网页源码也没有感兴趣的点。

  3. 使用msf的exploit/unix/webapp/drupal_drupalgeddon2得到一个shell,权限为www-data

    Vulnhub_DC1 记录_第7张图片

2. 提权

  1. 在当前目录下就可以找到第一个flag

    Vulnhub_DC1 记录_第8张图片

    image-20200213202727324

  2. 根据提示查找config文件

    image-20200213202838476

    大致翻了一下这个文件,里面并没有找到有用的信息。

    上网搜了一下,Drupal的配置文件为sites/default/settings.php

    Vulnhub_DC1 记录_第9张图片

    其中找到了数据库的配置信息

    Vulnhub_DC1 记录_第10张图片

  3. 连接数据库,因为mysql数据库并没有对外开放,因此在shell中进行操作。

    翻了翻数据库,能看到drupal登录用户的密码hash,但是感觉并不是重点,因为已经通过web获得了一个立足点,cms登录用户已经显得不是那么重要了。

    Vulnhub_DC1 记录_第11张图片

    尝试进行udf提权,发现没有写入权限,同时也发现自己到现在都没有对主机信息进行搜集。

    image-20200213205249960

3. 主机信息搜集

利用LinEnum.sh脚本搜集信息,将报告导回本地查看。

  1. 内核版本为Linux version 3.2.0-6-486

  2. 存在一个用户名为flag4,其HOME目录下有个flag4的文本文件

  3. 看到了一个exim4进程,但是用户很诡异,而且这个程序有s属性

    image-20200213211640758

    image-20200213213929217

  4. 查查看其他有s属性的命令

    Vulnhub_DC1 记录_第12张图片

4. 继续提权

  1. 针对内核版本查找提权途径,但是两个程序都无法提权。

    Vulnhub_DC1 记录_第13张图片

  2. 读一下flag4.txt,我也不知道这个“相同的方法”指的是啥,我又没有ls、cat root目录下内容的权限。

    image-20200213213319953

  3. 试试看Exim,搜出来一大堆

    Vulnhub_DC1 记录_第14张图片

  4. 查看当前版本,有点尴尬,并不在列表里

    Vulnhub_DC1 记录_第15张图片

  5. 尝试通过find提权,发现可以提权(之所以最后尝试这个,是因为之前忘记查看带有suid权限的程序了,信息搜集的最后一步是补上去的)

    image-20200213214559953

  6. 获得一个root权限的shell

    Vulnhub_DC1 记录_第16张图片

5. 消失的flag

  1. 回到得到cms配置文件的那一步

  2. 利用配置文件中的信息,登录到数据库,可以看到Drupal的用户名和密码。

  3. Vulnhub_DC1 记录_第17张图片

  4. 查看Drupal详细版本号为7.24

    image-20200213230621092

  5. searchsploit到一个添加Admin用户的脚本

    Vulnhub_DC1 记录_第18张图片

  6. 利用脚本添加一个账户

    Vulnhub_DC1 记录_第19张图片

  7. 登录后看到flag3的提示

    Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

    Vulnhub_DC1 记录_第20张图片

  8. 另一种添加用户的方式,既然有了数据库权限,就可以手工添加账号。利用Drupal自身提供的脚本./scripts/password-hash.sh加密自己的密码,通过数据库添加一个账号,并修改成管理员权限。

    image-20200213231549165

    Vulnhub_DC1 记录_第21张图片

    Vulnhub_DC1 记录_第22张图片

  9. 根据提示,使用find命令查看shadow文件可以得到用户密码的hash

    Vulnhub_DC1 记录_第23张图片

  10. 利用hashcat尝试爆破,很快就可以爆破出flag4的密码,但是root的一直都没有出现(等不及了,要睡觉)

    Vulnhub_DC1 记录_第24张图片

    image-20200213234916150

  11. 使用ssh成功登陆,并读取flag4.txt

    Vulnhub_DC1 记录_第25张图片

你可能感兴趣的:(Vulnhub_DC1 记录)