vulnhub DC系列 DC-1

目录

下载地址

漏洞分析

信息收集

漏洞尝试

漏洞利用

flag1

flag2

flag3

flag4

提权

---

下载地址

• DC-1.zip (Size: 733 MB)
• Download: http://www.five86.com/downloads/DC-1.zip
• Download (Mirror): https://download.vulnhub.com/dc/DC-1.zip

使用方式:ova文件直接使用vm打开

漏洞分析

信息收集

因为自己这个网段ip挺多，然后vm的靶机也有一些，这里不好判断那个是靶机，这里给大家推荐一个我自己使用的一个方法。

1.给靶机设置一个快照

2.fping -agq 192.168.1.0/24  使用fping快速扫描该网段中存活的机子

3.将靶机关闭重新扫描一下，对比少的那个ip就是靶机的ip

4.使用快照快速将靶机恢复

 

发现开启了80端口，这里看一下他的网站。

漏洞尝试

有一个登入的框，经过尝试一些没有弱口令之类的，这里使用插件Wappalyzer快速确认网站指纹。

这里得到一个信息，这是cms框架的网站，drupal7.x的一个cms框架。

 这里记得有msf中有一个可以利用，以前做Lampiao使用过。

这里大部分已经设置好，我们只用设置靶机的地址。

 

漏洞利用

相信这个肯定大部分人用的是很难受的，这里使用python搞一个伪shell。

python -c 'import pty;pty.spawn("/bin/bash")'

当然命令不一定是python，也有可以能是python3之类的，这里大家根据自己判断。

当然这个我觉得用的也是有点难受，但是吧直接反弹shell，我尝试好像是不行，这里就将就用着。

flag1

这里flag1提示我们去查看配置文件。

正好我们当前目录中有一个sites目录。

flag2

 这里在配置文件中找到了flag2，还获得了一个重要的信息。

 

---

这里本地mysql -udbuser -pR0ck3t 直接登录进去了

show databases; 发现了两个库

这里肯定是看drupaldb库，然后里面发现了users表我们查看，发现两个用户及加密密码

这个加密我们是不好搞的，只能爆破了，然后使用john也是没有爆破出来。。。

 这里看看别人的wp，额，在scripts目录下面有一个password-hash.sh文件可以加密密码，这个是怎么找到的。。而且只能这么运行scripts/password-hash.sh，为什么到scripts目录里面运行这个文件就报错。。。

php scripts/password-hash.sh 密码

然后更改密码，就是将这一串替换掉那一串。

 然后我们去访问网站。

flag3

登入后，查看这个flag3

find是linux查询文件的命令，然后-exec，突然感觉就是提示我们suid提权

flag4

这里提示了查询，但是因为开启了ssh服务，而且flag4用户是/bin/bash，很可能就是root的权限，那么为什么需要find提权呢，这里我那时候有点疑惑，这里我们可以尝试爆破flag4用户，但是吧，好吧，我没有爆破出来。

提权

find 文件 -exec "要执行的命令" \;
find cron.php -exec "whoami" \;

 

 这里先使用了/bin/bash,没有权限，在使用/bin/sh可以使用有权限

find cron.php -exec "/bin/sh" \;

id查看是root权限，然后就是查看root目录下面的flag了。