0x00.靶机环境
下载地址1:https://www.vulnhub.com/entry/dc-1,292/
下载地址2:https://pan.baidu.com/s/15CUDP2252c_1NFzMOWUKvQ 提取码: md7x
DC1共有五个flag
需要获取
0x02.渗透流程
先上nmap把靶机地址搞出来
nmap -sn -T4 192.168.167.0/24
对比MAC地址找到靶机ip为192.168.167.42 探测一下端口和服务信息(nmap -A -sV 192.168.167.42)
扫出来东西还挺多的我们可以看见网站是基于Drupal 7构建的站点,我们访问看看
觉见CMS
最省事的方法直接就是找EXP
了,这里没办法确定具体的版本,搜索到的信息复现都不太容易,然后在github
中也搜索了几个常用的工具,都失败了,于是上MSF
试试。
漏洞还挺多,根据日期远近试了两次过后发现4号漏洞即exploit/unix/webapp/drupal_drupalgeddon2
可以搞进去的
成功拿到shell,但是我们发现只有www权限
想办法提权吧,最简单的suid
接着提权就行
还有一种可以拿到可以交互shell,利用python
python -c 'import pty;pty.spawn("/bin/bash")'
flag1
ls拿到第一个flag,查看得到提示
flag2
根据提示去找配置文件, cat INSTALL.txt 找到配置文件路径
查看配置文件就找到了第二个flag
同时我们还看见了数据库的用户密码
flag3
刚刚我们拿到了数据库账号密码进去看看
查看表,show tables; ,在表中找到users表
查看users表的内容,找到一个admin用户
这里的话要么改密码要么就新建一个用户,但是不管哪一种方法都需要知道加密密码的方式,不然也无法拿出成功。在环境中提供了一个脚本可以算这个密码。
改完密码我们去登录一下网站
刚进去没找flag,点了一圈在这找到了。
终于找到了flag3!!
flag4
第三个提示是什么鬼意思,其实没怎么看懂,又是shadow
,又是passwd
的,不过有几个提示,大写的FIND
,大写的PERMS
,还有-exec
,这不就是suid
提权吗,关键是没说flag4
在哪阿,于是来了一波大的。
这不就来了嘛~
flag5
刚刚提示说在root里面找
搞定!