您现在的位置是:首页 > 文章详情

vulhub靶机DC-1

日期:2021-06-30点击:619
## vulhub靶机DC-1 ## 简述 该靶机需要找到5个flag 靶机下载地址(.ova):https://download.vulnhub.com/dc/DC-1.zip ## 信息搜集阶段 目标主机的ip是未知的,使用扫描工具对网段进行探测 我这里使用的是fscan,目标虚拟机设置为NAT模式,对目标网段进行扫描 一般排除一下就可以确定目标主机了,目标主机为192.168.48.132 这里还扫出了漏洞信息 ![image.png](https://s2.51cto.com/images/20210629/1624975765978384.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) 在msf里搜索下关于drupal的漏洞信息 第二个就是上面扫出来的sql注入漏洞 ![image.png](https://s2.51cto.com/images/20210629/1624975793580174.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) ## 漏洞利用 利用该漏洞,并设置参数 set targeturi 192.168.48.132 目标路径 set RHOSTS 192.168.48.132 目标ip set RPORT 80 目标端口 show options 查看该模块设置参数 ![image.png](https://s2.51cto.com/images/20210629/1624975824116438.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) 设置完成后,输入exploit开始运行 运行成功后,可以操作目标服务器了 ![image.png](https://s2.51cto.com/images/20210629/1624975865361027.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) ls查看下文件,找到flag1.txt ![image.png](https://s2.51cto.com/images/20210629/1624975931131194.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) ![image.png](https://s2.51cto.com/images/20210629/1624975985237797.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) 提示我们找配置文件 切换到drupal配置文件路径下 /sites/default/settings.php 可以看到数据库的用户名密码和flag2.txt 注意这里说暴破不是唯一方法 ![image.png](https://s2.51cto.com/images/20210629/1624976067239673.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) ![image.png](https://s2.51cto.com/images/20210629/1624976059989914.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) 用上面得到的用户名和密码尝试登录mysql 进入shell模式后,登录mysql发现报错了 这里查了下,是需要用python转换成标准的shell才能执行 输入python -c "import pty;pty.spawn('/bin/sh')" 即可 括号里的路径应该与上面报错提示的路径一样,有的可能是/bin/bash ![image.png](https://s2.51cto.com/images/20210629/1624976406635695.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) 输完上面的指令后出来$符即可,然后登录mysql show databases; 查看数据库 use drupaldb; 切换drupaldb数据库下 show tables; 查看当前数据库下的表 select * from users; 查看user表中的内容 ![image.png](https://s2.51cto.com/images/20210629/1624976501476362.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) 发现密码都加密了 ![image.png](https://s2.51cto.com/images/20210629/1624976513588203.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) scripts目录下有个password-hash.sh,试下能不能解开 发现只能加密不能解密,而且运行这个脚本需要退到/var/www路径下执行 ![image.png](https://s2.51cto.com/images/20210629/1624976666118406.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) 没法解密那就更新替换掉admin密码 ![image.png](https://s2.51cto.com/images/20210629/1624978343687117.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) 使用更改后的admin密码登陆网站 找到flag3,需要提权的意思 ![image.png](https://s2.51cto.com/images/20210629/1624978358466678.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) ![image.png](https://s2.51cto.com/images/20210629/1624978362759374.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) 里面提到了passwd,查看下/etc/passwd 找到flag4.txt,切换到对应的路径下查看该文件 ![image.png](https://s2.51cto.com/images/20210629/1624978443188505.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) ![image.png](https://s2.51cto.com/images/20210629/1624978448423050.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) ## 提权 进行提权获取root权限 find / -perm -u=s -type f 2>/dev/null 使用find命令查看拥有suid权限的文件 find / -name flag4 -exec "whoami" \; 尝试用find执行whoami命令 find / -name flag4 -exec "/bin/sh" \; 使用find命令提权 这块细节方面可以结合看下find参数和suid提权的文章 ![image.png](https://s2.51cto.com/images/20210629/1624978575271314.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) 获取到root权限后,在/root目录下找到最后一个flag ![image.png](https://s2.51cto.com/images/20210629/1624978667370641.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=) 还想试下找到root账户的密码,无果 ![image.png](https://s2.51cto.com/images/20210629/1624978700898919.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
原文链接:https://blog.51cto.com/Jach1n/2955734
关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。

文章评论

共有0条评论来说两句吧...

文章二维码

扫描即可查看该文章

点击排行

推荐阅读

最新文章