0x00 环境搭建
靶机地址:https://www.vulnhub.com/entry/dc-1,292/
下载之后用vmware打开即可,使用桥接模式。
开机后搭建完成:
0x01 主机端口探测
用arp-scan -l
探测内网存活主机,再用nmap -sV -p- ip
来探测端口:
发现开启了22端口(SSH服务)、80端口(HTTP服务)、111端口和57345端口(RPC服务)
0x02 web渗透
访问80端口,发现是一个 Drupal 搭建的站:
xray 扫一下,发现存在Drupa的一个漏洞CVE-2018-7600
:
使用 msf 查找相关漏洞:search drupal
使用最新漏洞尝试攻击:
得到 Meterpreter 会话,在当前目录下找到 flag1:
获取交互式shell:python -c 'import pty;pty.spawn("/bin/bash")'
查看 drupal 的配置文件 /sites/default/settings.php
,主要是数据库连接配置:
找到了 flag2 以及数据库账号密码,这里也提示了暴力破解不是唯一方法。
0x03 数据库渗透
登录数据库:
找到账户密码,上面也提到了暴力破解不是唯一方法:
查询资料后得知,Drupal 7的安装目录中的scripts目录下,有一个脚本名为:password-hash.sh
,它的功能是传入一个密码(字符串),即返回加密后的密码字符串。
更新密码:
浏览器登录admin账户,拿到 flag3:
这里给出提示得知/etc/shadow
和/etc/passwd
可以使用John the Ripper
破解密码。
0x04 暴破ssh远程登录
查看用户发现 flag4 用户:
使用hydra + John the Ripper的密码本进行暴破:hydra -l flag4 -P /Users/john-1.8.0/run/password.lst ssh://192.168.43.237
得到密码后SSH远程连接,找到 flag4:
提示需要找到root用户下的flag。
0x05 SUID提权
使用find / -perm -u=s -type f 2>/dev/null
查找设置了SUID的文件:
发现 find 有SUID标志位,如果find以SUID权限运行,所有通过find执行的命令都会以root权限运行:
touch test
find test -exec whoami \;
找到最终 flag:
总结
整体流程如下:
主机发现 => 端口扫描 => 访问web服务 => 判断cms => 利用已知漏洞getshell => 拿到flag1 => 配置文件找到flag2和数据库账户密码 => 登录数据库更新管理员密码 => 登录web服务 => 拿到flag3 => 暴破ssh登录 => 拿到flag4 => SUID提权拿到最终flag
总体来说难度不大,熟悉一下渗透测试流程,充分利用msf的各个模块辅助渗透,复习了SUID提权。
参考链接:
https://www.cnblogs.com/chalan630/p/12639911.html(VulnHub::DC-1)