Vulnhub-DC8

信息收集

# arp-scan -l
Interface: eth0, type: EN10MB, MAC: 00:0c:29:43:7c:b1, IPv4: 192.168.1.60
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.1.1     00:50:56:c0:00:08       VMware, Inc.
192.168.1.2     00:50:56:fe:b1:6f       VMware, Inc.
192.168.1.98    00:0c:29:76:5d:ff       VMware, Inc.
192.168.1.254   00:50:56:f6:02:1b       VMware, Inc

探测目标靶机的IP地址!发现192.168.1.98是新增加的IP地址!

# nmap -sT --min-rate 10000 -p- 192.168.1.98 -oN port.nmap                   
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-31 16:13 CST
Nmap scan report for 192.168.1.98
Host is up (0.00075s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:76:5D:FF (VMware)

Nmap done: 1 IP address (1 host up) scanned in 3.43 seconds

目标靶机仅开放了两个端口,22和80端口,分别对应的是ssh和http服务!

# nmap -sT -sC -sV -O -p80,22 192.168.1.98 -oN details.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-31 16:13 CST
Nmap scan report for 192.168.1.98
Host is up (0.00037s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)
| ssh-hostkey: 
|   2048 35:a7:e6:c4:a8:3c:63:1d:e1:c0:ca:a3:66:bc:88:bf (RSA)
|   256 ab:ef:9f:69:ac:ea:54:c6:8c:61:55:49:0a:e7:aa:d9 (ECDSA)
|_  256 7a:b2:c6:87:ec:93:76:d4:ea:59:4b:1b:c6:e8:73:f2 (ED25519)
80/tcp open  http    Apache httpd
|_http-server-header: Apache
|_http-generator: Drupal 7 (http://drupal.org)
| http-robots.txt: 36 disallowed entries (15 shown)
| /includes/ /misc/ /modules/ /profiles/ /scripts/ 
| /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt 
| /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt 
|_/LICENSE.txt /MAINTAINERS.txt
|_http-title: Welcome to DC-8 | DC-8
MAC Address: 00:0C:29:76:5D:FF (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kerne

22端口是OpenSSH 7.4 80端口是Apache起的http服务!暴露出来存在Drupal 7 同时robots文件中存在一下几个目录:/includes/ /misc/ /modules/ /profiles/ /scripts/ /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt /LICENSE.txt /MAINTAINERS.txt

# nmap -sT --script=vuln -p80,22 192.168.1.98 -oN vuln.nmap  
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-31 16:13 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.98
Host is up (0.00023s latency).

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.1.98
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://192.168.1.98:80/node/3
|     Form id: webform-client-form-3
|_    Form action: /node/3
| http-enum: 
|   /rss.xml: RSS or Atom feed
|   /robots.txt: Robots file
|   /UPGRADE.txt: Drupal file
|   /INSTALL.txt: Drupal file
|   /INSTALL.mysql.txt: Drupal file
|   /INSTALL.pgsql.txt: Drupal file
|   /CHANGELOG.txt: Drupal v1
|   /: Drupal version 7 
|   /README.txt: Interesting, a readme.
|   /0/: Potentially interesting folder
|_  /user/: Potentially interesting folder
MAC Address: 00:0C:29:76:5D:FF (VMware)

Nmap done: 1 IP address (1 host up) scanned in 55.13 seconds

80端口说是存在CSRF,同时还有就是暴露出来的敏感文件信息!

渗透测试

既然只存在80和22端口,那就只能是在80端口上寻找立足点,22端口在渗透测试中优先级是拍后的!先看一下80端口上开放的服务吧:

Vulnhub-DC8_第1张图片

首页很明显看到了Drupal,同时首页提示了我们一个非常重要的消息:整个意思是在说这个网站在接下来的几个星期中断,要解决某些问题,因此带来了某些不便深表歉意;

尝试访问一下,在信息收集过程中拿到了这些文件和目录信息:

Vulnhub-DC8_第2张图片

该文件没什么重要信息;继续看其他的文件:

Vulnhub-DC8_第3张图片

robots文件中禁止了很多东西,这里就不贴全了;

Vulnhub-DC8_第4张图片

changelog文件,可以推断当前的drupal应该是在7.67之上的

Vulnhub-DC8_第5张图片

user目录是用户的登录界面!尝试了几个账号密码,发现锁了admin:

Vulnhub-DC8_第6张图片

尝试很多的公开漏洞,没能利用成功~

Vulnhub-DC8_第7张图片

通过searchsploit进行搜索,其实能看到,符合当前的Drupal版本的漏洞没有~ 兜兜转转回到了页面上的功能点,查看是不是自己遗漏了什么东西:

Vulnhub-DC8_第8张图片

三个功能,点击的时候看到了URL的变化,是通过uid来显示的,这个uid看起来很有可能存在sql注入!

Vulnhub-DC8_第9张图片

添加单引号,发现页面报错了!看来是存在SQL注入了,直接上sqlmap了:

Vulnhub-DC8_第10张图片

Vulnhub-DC8_第11张图片

上面是存在的表,那就看看user吧!直接dump!

Vulnhub-DC8_第12张图片

发现了两个用户,其中的密码还是加密的,直接尝试去在线解密,或者john直接破解:破解成功了一个:

Vulnhub-DC8_第13张图片

这个密码是john用户的~ 那就先尝试一下能不能ssh直接登陆吧:

Vulnhub-DC8_第14张图片

但是报错了~ 权限被拒绝 难道这是网页上的账号和密码?

Vulnhub-DC8_第15张图片

确实是web上的用户和密码,直接登陆进来!那就看看有没有什么功能点,能够被我们利用!

Vulnhub-DC8_第16张图片

这里卡住了,一直执行不了代码,后来看了一下wp:

其中必须要有能显示的文字才能执行php代码。因为该内容是在用户提交数据后显示的内容,如果没有能显示的内容,则这一部分内容将不会被引用,那么代码也就不会执行。

所以重新写一下:

Vulnhub-DC8_第17张图片

先进行了测试,保存之后,去提交即可:

Vulnhub-DC8_第18张图片

正常写内容提交下:

Vulnhub-DC8_第19张图片

测试成功,直接写反弹shell:

Vulnhub-DC8_第20张图片

再次提交,同时启动监听:

Vulnhub-DC8_第21张图片

终于是拿到了立足点,准备提权!

提权

先提升一下shell的交互性:

Vulnhub-DC8_第22张图片

python3 -c "import pty;pty.spawn('/bin/bash')"

Vulnhub-DC8_第23张图片

查看/etc/passwd文件,发现了一个用户是dc8user!由于没有wwwdata的密码,所以无法查看sudo权限:

Vulnhub-DC8_第24张图片

寻找suid文件:

Vulnhub-DC8_第25张图片

存在exim4,尝试利用searchsploit进行公开漏洞的搜索:

Vulnhub-DC8_第26张图片

发现了几个可以提权的公开利用,查看当前的exim版本:

Vulnhub-DC8_第27张图片

4.89在漏洞范围之内,尝试利用!下载下来,起一个简单的http服务,传到靶机上,赋予执行权限去执行!

Vulnhub-DC8_第28张图片

看到说明存在两种使用方法,第一种方法始终不成功,用了第二种方式,虽然成功了,但是提权之后,一会就断了~

Vulnhub-DC8_第29张图片

最终快速的进入root目录,之后列文件,读取flag:

Vulnhub-DC8_第30张图片

总结

  年前的最后一个靶场了,大概是在11月份吧,开始练习vulnhub上面的靶场,具体时间自己也不太清楚了,当时看到了红笔师父的讲解,一步步自己跟着打,刚开始有点难度,很多时候都会被卡在寻找立足点,又或者是提权的路上,于是会看大佬们的wp,或者是看看红笔师父接下来的思路是什么;慢慢的自己也能盲打成功了,后来就盲打完,再去看红笔师父的打靶过程,很多时候与师父打靶的方法都一样,这种感觉真的很好,在看的时候,会比较惊喜,“原来还能这样打”,“太强了吧”,“思路真的清晰”;渗透测试最重要的,在个人看来就是思路,年前的目标是50个靶场,这是最后一个啦!不敢说自己进步有多大吧,但是思路会清晰了很多!加油,未来可期!

你可能感兴趣的:(Vulnhub,网络安全,安全,学习,web安全,安全威胁分析)