Vulnhub靶场 | DC系列 | DC-1

news/2024/11/15 17:32:19/文章来源:https://www.cnblogs.com/leyilea/p/18300491

DC-1

目录

  • 环境搭建
  • 渗透测试
    • 1. 信息收集
    • 2. 漏洞利用
    • 3. 提权

DC ~ VulnHub VulnHub provides materials allowing anyone to gain practical hands-on experience with digital security, computer applications and network administration tasks. https://www.vulnhub.com/series/dc,199/

环境搭建

  1. 靶机镜像下载地址:https://www.vulnhub.com/entry/dc-1,292/;
  2. 需要将靶机和 kali 攻击机放在同一个局域网里;
  3. 本实验kali 的 IP 地址:192.168.10.146。

渗透测试

1. 信息收集

使用 nmap 扫描 192.168.10.0/24 网段存活主机

┌──(root💀kali)-[~/桌面]
└─# nmap -sP 192.168.10.0/24

分析可知,靶机 ip 为 192.168.10.147

对靶机进行端口扫描

┌──(root💀kali)-[~/桌面]
└─# nmap -sS 192.168.10.147

由结果可知,靶机开放了ssh、http和rpcbind服务。

探测对应服务的版本信息

┌──(root💀kali)-[~/桌面]
└─# nmap -sV -p22,80,111 192.168.10.147

web 指纹识别

┌──(root💀kali)-[~/桌面]
└─# whatweb http://192.168.10.147

发现该网站是 drupal[1],属于 cms 系统之一。

访问网站看一看...

也可以使用wapp插件查看网站基本信息。

很明显,我们看到网站的 cms,可以直接在网上搜索这个 cms 的漏洞利用方式

2. 漏洞利用

使用 metasploit 对漏洞进行利用。

启动 metasploit,搜索 drupal 模块。

经测试可以采用exploit/unix/webapp/drupal_drupalgeddon2,即:

配置参数(payload、rhosts、lhost),开始攻击,成功建立会话。

查看网站目录结构,发现 flag1:

查看 flag1.txt内容,有一个提示信息:需要一个 config file

进入系统的 shell,并使用python -c "import pty; pty.spawn('/bin/bash');"获得一个交互shell。

根据上面flag1.txt的提示,在网站目录中寻找相应的配置文件(当然没有提示,也应该寻找看一下,毕竟是敏感文件)。

内容如下:发现flag2、数据库名、用户名、密码

flag2提示:“暴力和字典攻击不是获得访问权限的唯一方法(你将需要访问权限)。你能用这些证书做什么?”

使用获取的数据库用户名和密码登录数据库:

发现该用户只能管理drupaldb数据库。进入数据库,查看库中的表

发现有个users表

查看 users 表中的内容:由于列数比较多,查看内容比较乱,可以使用select * from users\G;查看

或者:先看看表结构

查看name和pass列

该密码不是普通的加密,有可能是网站自己的加密方式。尝试搜索一下相关文件~

搜索到了一个./scripts/password-hash.sh看似与密码有关。查看文件内容,得知为php脚本,作用是生成一个hash密码。

使用该脚本生成一个简单的密码,比如123456。将数据库中的密码覆盖掉~

www-data@DC-1:/var/www$ php  ./scripts/password-hash.sh  123456

覆盖 admin 的密码:

mysql> update users set pass="$S$D3JWVJTOOlXIz0t1Nf.8eg5MrBOqhCVsn.z7m/P4wf4H.OoLYlAf" where name="admin";

登录网站:

登录成功。

在 Dashboard 中发现 flag3 给的提示:

Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

特殊的PERMS将有助于找到passwd-但您需要执行该命令以确定如何获取shadow中的内容。

查看 /etc/passwd 文件。

发现 flag4,flag4是一个普通用户。

尝试查看flag4用户的家目录,确实存在flag4.txt文件,

提示信息为:在root里?

Can you use this same method to find or access the flag in root?
Probably. But perhaps it's not that easy.  Or maybe it is?

当然如果没有权限访问/home/flag4/flag4.txt,则需要登录flag4用户。由于该服务器也开放了 22 端口,我们可以使用hydra工具爆破flag4用户的密码:

┌──(root💀kali)-[~/桌面]
└─# hydra -l flag4 -P /usr/share/john/password.lst 192.168.10.147 ssh

爆破结果:密码为orange。

使用 ssh 连接,发现最后一个 flag 的提示信息:in root。

进入 root 目录,发现权限不够,需要提权

3. 提权

首先想到使用 suid 提权找到一个属于 root 的有 s 权限的文件。

  • SUID(Set User ID),SUID 可以让调用者以文件拥有者的身份运行该文件,所以我们利用 SUID 提权的思路就是运行 root 用户所拥有的 SUID 的文件,那么我们运行该文件的时候就得获得 root 用户的身份了。

常见的可用于 SUID 提权的文件有:

find、bash、nmap、vim、more、less、nano、cp 
//当没有s权限时可以使用:chmod u+s 命令路径,增加权限

查找哪些命令具备 SUID 标识

相关命令:

find / -perm -4000 2>/dev/null
find / -perm -u=s -type f 2>/dev/null

使用find命令进行提权:

利用 find 命令随便查找一个正确的文件(夹)路径,后面加上 -exec shell 命令 \;

提权 /bin/bash 或者 /bin/sh

www-data@DC-1:/var/www$ find cron.php -exec "/bin/bash" \;
find cron.php -exec "/bin/bash" \;
bash-4.2$ find cron.php -exec "/bin/sh" \;  
find cron.php -exec "/bin/sh" \;
# whoami
whoami
root
# 

成功提权!拿到最后一个 falg!

🔗Reference:DC-1

  • https://blog.csdn.net/weixin_45677119/article/details/111770003

  1. Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。 ↩︎

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/743202.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Smart-doc:零注解侵入的API接口文档生成插件

零注解侵入的API接口文档生成插件——Smart-doc smart-doc 是一款同时支持 JAVA REST API 和 Apache Dubbo RPC 接口文档生成的工具,在业内率先提出基于JAVA泛型定义推导的理念, 完全基于接口源码来分析生成接口文档,不采用任何注解侵入到业务代码中。 你只需要按照java-doc…

如何对Linux系统进行基准测试4工具Sysbench

Sysbench简介 Sysbench是一款多用途基准测试工具,可对CPU、内存、I/O甚至数据库性能进行测试。它是一个基本的命令行工具,提供了直接、简便的系统测试方法。github地址:https://github.com/akopytov/sysbench 。主要功能:CPU: 衡量CPU执行计算密集型任务的能力。 内存: 衡量…

containerd 容器基础环境组件的搭建

1 基础环境说明(1)本次所有部署软件版本说明软件名称 版本号操作系统内核(后续升级为 lt-5.4.278)CentOS 7.9.2009 (3.10.0-1160.el7) 1c1GB 20GBCentOS-7-x86_64-Minimal-2009.isocontainerd v1.6.6cfssl v1.6.1cni v1.1.1crictl v1.24.2nerdctl 1.7.6buildkit v0.14.1(2)系统…

【JavaScript】聊一聊js中的浅拷贝与深拷贝与手写实现

什么是深拷贝与浅拷贝?深拷贝与浅拷贝是js中处理对象或数据复制操作的两种方式。‌在聊深浅拷贝之前咱得了解一下js中的两种数据类型:前言 什么是深拷贝与浅拷贝?深拷贝与浅拷贝是js中处理对象或数据复制操作的两种方式。‌在聊深浅拷贝之前咱得了解一下js中的两种数据类型:…

分页查询及其拓展应用案例

分页查询 分页查询是处理大量数据时常用的技术,通过分页可以将数据分成多个小部分,方便用户逐页查看。SQLAlchemy 提供了简单易用的方法来实现分页查询。 本篇我们也会在最终实现这样的分页效果:1. 什么是分页查询 分页查询是将查询结果按照一定数量分成多页展示,每页显示固…

delphi dev cxgrid 列绑定Richedti 支持过滤

默认是不支持过滤的,这里需要改到内部的一些源码文件。 先说思路: 1.要让列支持过滤需要重载richedit类的 GetSupportedOperations,typeTcxRichEditProperties = class(cxRichEdit.TcxRichEditProperties)publicfunction GetSupportedOperations: TcxEditSupportedOperation…

《项目管理》-笔记1

PMBOK解读 1.1项目和项目管理 项目:项目是为创造独特的产品、服务或成果而进行的临时性工作。 项目管理:在项目的活动中运用知识、技术、工具、技巧,以满足项目要求。 1.2十大知识领域 (1)项目整合管理 项目整合管理包括为识别、定义、组合、统一和协调各项目管理过程组的各…

Cilium Ingress 特性(转载)

Cilium Ingress 特性Cilium Ingress 特性(转载) 一、环境信息主机 IPubuntu 10.0.0.234软件 版本docker 26.1.4helm v3.15.0-rc.2kind 0.18.0kubernetes 1.23.4ubuntu os Ubuntu 22.04.6 LTSkernel 5.15.0-106二、Cilium Ingress 流程图Cilium 现在提供了开箱即用的 Kuberne…

N1盒子挂载阿里云盘-Alist工具

Markdown Example.centered-text { text-align: center; font-size: 40px; font-family: "Times New Roman", Georgia, serif }N1盒子挂载阿里云盘安装Alist手动安装 参考:官方文档step 1step 2配置-启动step 3打开web网页:http://192.168.1.254:5244/ 登录界面、拉…

WindowsLinux搭建frp内网穿透(自用)

Linux服务器搭建服务端 1、下载官方frp包,软件是开源的,下载链接: https://github.com/fatedier/frp/releases 根据自己的版本需求,自行下载对应的版本号,本文章以0.37版本为例wget -c https://github.com/fatedier/frp/releases/download/v0.37.1/frp_0.37.1_linux_amd64…

2024-07-13:用go语言,给定一个从0开始的长度为n的整数数组nums和一个从0开始的长度为m的整数数组pattern,其中pattern数组仅包含整数-1、0和1。 一个子数组nums[i.

2024-07-13:用go语言,给定一个从0开始的长度为n的整数数组nums和一个从0开始的长度为m的整数数组pattern,其中pattern数组仅包含整数-1、0和1。 一个子数组nums[i..j]的大小为m+1,如果满足以下条件,则我们称该子数组与模式数组pattern匹配: 1.若pattern[k]为1,则nums[i+…

dbeaver

修改字体 参考 【DBeaver】常用自定义设置 旧版 编辑器字体查询结果字体新版 应用字体编辑器字体修改背景色 编辑器背景色注意: 此设置会同时修改查询结果背景色,但是需要重启 dbeaver格式化配置 参考 【DBeaver】常用自定义设置 格式化大小写关闭自动插入表别名关于语句分隔符…