DC1
实验背景:DC-1是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。】
DC-1提权关键词:find
攻击机ip:192.168.127.133
DC1靶机ip:192.168.127.136
目标:获取靶机上的5个flag
1.内网渗透,先利用namp扫描整个网段
目标机为192.168.127.136
首先去官网下载DC-1,用VM打开后,使它与靶机处于NAT模式,此时用主机扫描同一网段主机扫描到DC-1靶机的ip,
.继续nmap嗅探端口信息
开放了22/80/111/56771端口
那就访问80端口
2.在浏览器中打开ip网站
要下载插件扫描指纹信息,所以我选择kali自带的whatweb插件;
输入命令:whatweb 192.168.127.136
输入命令:msfconsole;
3.输入命令:search drupal;扫描drupal类漏洞;
找到其中一个漏洞(这里是2018年的)进行攻击尝试;输入命令:
- use exploit/unix/webapp/drupal_drupalgeddon2;
- show options
查看需要设置的参数,如设置rhost(靶机),输入命令:set rhosts 192.168.127.136
再输入:exploit进行攻击;获取shell如下;并进行如下命令;
看到Meterpreter session 1 opened说明攻击成功。,接着继续如上操作;
使用类似命令查看当前目录下的文件
接着查看flag.txt
查看robots.txt文件;
可以看到许多有用的信息如登出页面、登录页面、注册页面等等
3.信息收集
看到了flag.txt;我们cat flag1.txt 查看一下它的内容;然后根据它给出的提示,切换到Drupal文件下的配置文件即/site/default下的setting.php文件(我们先用phython反弹shell);再依次执行以下命令
在setting翻找到数据库的配置信息如下;
数据库为mysql数据库,数据库名为drupaldb,用户名为dbuser,密码为R0ck3t,本地登录账号
5.5 数据库登录
Python打开shell终端获取交互shell,登录mysql数据库
切换到Drupaldb数据库使用use drupaldb,查询users表;
执行如下命令得出哈希值;
先指定数据库(之前忘记了搞了很久,所以千万千万不能忘了)
执行命令:update users set pass="$S$D6WQa4rQJLE0ILIHOpzku/hPMiGXw0tWp2/98hRnkUEFeuYsRxVA" where name="admin"
置换密码成功;现在可以去网站(http://192.168.127.136)访问登陆啦;
密码已经置换为了admin;所以我们可以成功登录;
在网站content中找到flag3;打开看到提示信息;
去查询/etc/passwd;找到flag4;
尝试访问root;可以看到权限不够,失败了;
.find / -perm -u=s -type f 2>/dev/null
查看具有root用户权限的SUID文件
执行如下命令,访问finallyflags;
可以看到find有suid权限
利用find提权到 root 用户权限
先查看其信息,发现其确实是root用户权限的SUID的文件;
先看一下是否能用find命令以root权限运行
find flag1.txt -exec “whoami” ;
所有通过find执行的命令都是root权限,那么使用find -exec生成一个具有root权限的shell
find -exec ‘/bin/sh’ ;
最后找到finalflag.txt;
复现成功;