DC系列靶场环境,这是个模拟红队从信息收集到打点再到提权可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们拿到最后的root身份,过程还是挺有趣的。
靶场下载环境:https ://download.vulnhub.com/dc/DC-1.zip
下载完成后就是一个DC-1.ova文件双击用vm打开 就行了
可以看到整个环境测试为黑盒测试(无登录账户和密码)
一、获取权限
首先,先对目标进行信息收集
可以看到靶机开了22,80,111三个端口
通过浏览器去访问靶机的网页
可以看出是DrupalCMS搭建的网站然后我们访问它的robots.txt文件
初略一看目录还挺多的,但是对我们有用的却没有,再看一下网站主页发现是个登录页面首先试着注册一个新用户发现新用户无法登录而且admin这个用户被占用,那大概就是管理员用户了,接下来试着对密码进行爆破.
看来爆破这条路是走不通了,接着对网站目录进行扫描,还是无果,看起来只能去网上找找公开的漏洞了,看了一下有个CVE-2018-7600是最可能的漏洞了而这个漏洞是直接在MSF中存在利用模块的。
flag1
直接利用就行了,攻击成功后可以得到一个低权限的用户,我们随便翻一下这里面都有什么东西
有个flag1.txt 文件打开来看看
flag2
大概意思就这个也就是说我们接下来的目标就是DrupalCMS的数据库配置文件,由网上可以知道DrupalCMS的配置文件目录是在/sites/default/settings.php中,进去以后就可以看到flag2和数据库连接的账户密码
flag2的意思大概是想要获得访问权限就需要账号密码
二、提权
得到数据库的账户密码后尝试通过Navicat 连接结果连接不通。但是既然得到了数据库账户名和密码,可以使用python反弹一个交互式的shell,然后利用账户名密码连接数据库
python -c 'import pty;pty.spawn("/bin/bash")'
mysql -u dbuser -p
输入密码:R0ck3t
show databases;看一下数据库有哪些
通过show tables查看所有的表
这里有个users表看起来就是管理员账户密码所在地了,管理员的密码是加了盐的只能从网上查找一下修改密码了,通过网上可知
flag3
将密码修改后就可以成功登录网站管理后台
我本来想要试着在这里面上传一个一句话木马但是看了一下没有找到可疑的上传点模板,样式也没有位置只能放弃,但是找到了flag3,
flag3的信息中提到了passwd和shadow,应该就是/etc/passwd和/etc/shadow这两个文件了,而find、perms、-exec应该是要提权才用到
/etc/passwd文件和/etc/shadow文件
1、所有的用户的账号和密码都在这两个文件中
2、/etc/passwd保存着每个用户账号。该文件只有管理员可以修改,但是对于所有的用户都可读
3、/etc/shadow保存着密码等信息。该文件只有系统管理员能够修改和查看,其他用户不能查看、修改。
flag4
算了没事接下来就是继续翻了一下目录在/home/flag4/中找到了flag4.txt
接下来就是提权环节,这里面我看了一下其他师傅的文章是使用的是suid提权,这位师傅的文章我觉得对suid提权写的不错
查找具有root权限的其他命令,以下均可查询:
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb { }
执行:ls -lh /usr/bin/find查看find的权限发现是root权限
利用find来提权
find ./ 111 -exec '/bin/sh' \;
成功获得root权限
endflag
然后在root目录下得到最终的flag