【Vulnhub靶机渗透测试】之DC-1 (SUID提权)

最新推荐文章于 2025-04-03 10:42:21 发布
最新推荐文章于 2025-04-03 10:42:21 发布
阅读量970 收藏 3
点赞数
分类专栏: # 靶场测试 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45677119/article/details/111770003
版权
本文围绕Vulnhub靶机DC - 1展开渗透测试。先搭建环境,将靶机与kali攻击机置于同一局域网。接着进行信息收集,确定靶机IP、网站CMS类型及开放端口。然后利用metasploit针对drupal漏洞攻击,获取多个flag并尝试登录数据库。最后通过SUID提权,成功拿到最终flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

Vulnhub靶机渗透测试之DC-1

  • 环境搭建

  1. 靶机镜像下载地址:https://www.vulnhub.com/entry/dc-1,292/

  2. 需要将靶机和kali攻击机放在同一个局域网里;

  3. kali的IP地址:192.168.40.131。

1. 信息收集

  1. 使用 nmap 扫描 192.168.40.0/24 网段存活主机

在这里插入图片描述

简单分析可知,靶机ip为 192.168.40.141

  1. web指纹识别

在这里插入图片描述

发现该网站是drupal,属于cms系统之一

  1. 使用 nmap 扫描常用端口

在这里插入图片描述

发现开放22、80端口;浏览器访问80端口:

在这里插入图片描述

很明显,我们看到网站的cms,可以直接在网上搜索这个cms的漏洞利用方式

在这里插入图片描述

2. 漏洞利用

我们使用metasploit对漏洞进行利用。

  1. 启动metasploit,搜索drupal模块。

在这里插入图片描述

经测试可以采用2018-03-28漏洞:

在这里插入图片描述

  1. 配置好参数,开始攻击。

set payload:

在这里插入图片描述
在这里插入图片描述

设置RHOSTS和LHOST:

在这里插入图片描述

开始攻击:成功建立会话

在这里插入图片描述

查看网站目录结构,发现flag1:

在这里插入图片描述

查看flag1.txt,给我们的提示信息:需要一个config file

在这里插入图片描述

  1. 进入系统下的shell

在这里插入图片描述

很显然这个shell虽然已经进入,但是这里并不是交互的shell,所以我们要进入交互式的shell,使用python反弹一个交互式shell:

在这里插入图片描述

  1. 既然是一个web应用,我们可以查找一下数据库的相关配置

在这里插入图片描述

发现flag2,数据库名、数据库用户/密码;

登录mysql数据库,查看表找到用户表获取密码:

在这里插入图片描述

show tables:查看数据库的表

在这里插入图片描述

查看users表:select * from users\G;

在这里插入图片描述

发现两个用户,但密码都是加密的且不好破解,所以我们选择使用一个我们已知的密文把它覆盖掉;用php下的一个脚本将123456加密:

在这里插入图片描述
修改admin的密码:

在这里插入图片描述

登录网站:

在这里插入图片描述
在这里插入图片描述

在Dashboard中发现flag3给的提示:特殊的PERMS将帮助找到passwd

在这里插入图片描述

  1. 查看etc/passwd文件

在这里插入图片描述

发现flag4,该服务器开放了22端口,我们可以使用九头蛇工具爆破密码:

hydra -l flag4 -P /usr/share/john/password.lst 192.168.40.141 ssh -vV -f -o hydra.ssh

爆破结果:

在这里插入图片描述

使用ssh连接,发现最后一个flag的提示信息:in root

在这里插入图片描述

进入root目录,发现权限不够,需要提权

在这里插入图片描述

3. 提权

首先想到使用suid提权找到一个属于root的有s权限的文件。

SUID(Set User ID),SUID可以让调用者以文件拥有者的身份运行该文件,所以我们利用SUID提权的思路就是运行root用户所拥有的SUID的文件,那么我们运行该文件的时候就得获得root用户的身份了。

常见的可用于SUID提权的文件有:

find、bash、nmap、vim、more、less、nano、cp 

当没有s权限时可以使用:chmod u+s 命令路径,增加权限
  1. 查找哪些命令具备SUID标识

相关命令:

find / -perm -4000 2>/dev/null
find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述

  1. 我们随便找一个命令看它是否拥有s权限
    比如比较熟悉的find命令,先查看其信息:

在这里插入图片描述
发现其确实是root用户权限的SUID的文件find命令拥有s权限。

  1. 再利用find命令随便查找一个正确的文件(夹)路径,后面加上 -exec shell命令 \;
flag4@DC-1:/bin$ /usr/bin/find bash -exec whoami \;
root
flag4@DC-1:/bin$ /usr/bin/find bash -exec ping 127.0.0.1 \;
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_req=1 ttl=64 time=0.279 ms
64 bytes from 127.0.0.1: icmp_req=2 ttl=64 time=0.016 ms
64 bytes from 127.0.0.1: icmp_req=3 ttl=64 time=0.050 ms
...

发现确实可以以root权限运行。

  1. 提权 /bin/bash 或者 /bin/sh

在这里插入图片描述

成功提权!拿到最后一个falg!

[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell等获取5个flag。本文将讲解DC-1和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
Vulnhub靶机实战——DC-1
冠霖L的博客
09-27 2061
靶机DC-1下载地址:https://download.vulnhub.com/dc/DC-1.zip 描述:靶机DC-1共有5个flag,并且需要root限才可以找到并查看flag 环境:Vmware 15 Pro虚拟机软件 DC-1靶机IP地址:192.168.220.130 Kali的IP地址:192.168.220.131 本...
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
Vulnhub靶机DC-5(suid)
过期的秋刀鱼
08-06 462
信息收集主机发现 netdiscouver端口扫描 nmap目录爆破 dirsearch漏洞利用bp抓包分析footer.php,有文件包含漏洞木马上传,查看日志反弹shellpython交互shell find / -user root -perm /4000 2 > /dev/nulllibhax.c和rootshell.c文件的编译 run.sh bash ./run.sh
干!干货!SUID的几种方式
最新发布
wsjqazwsx的博客
04-03 401
我们使用cp命令,将/etc/passwd中的内容复制到一个新的文件中,在这个新文件中我们使用普通用户限就可以进行修改,我们在里面新添加一个拥有root限的用户,再把文件复制回去,我们就可以用新用户登录,这样就是root限了。在执行find命令过程中又执行whoami命令,因为在执行find命令过程中限为root,所以会临时获得root限。首先需要使用find命令去搜寻哪些命令具有SUID限,直接一步到位,查找所有者为root的文件,同时匹配具有 SUID 限的文件。
vulnhubDC-1
BurYiA的博客
05-02 690
文章目录vulnhubDC-1准备工作1.主机查找2.信息搜集3.正文方法一方法二 vulnhubDC-1 大神们可以退场了,小白的第一篇文章,可能会有很多错误,很多地方可能也会说不清楚。望见谅。 前段时间了解到这个平台,然后就开始难受了,真心不会做(就是太菜了)。闲话就不多说了,开始吧 准备工作 1.DC-1虚拟机(可能得搭梯子,自行尝试) 2.kali虚拟机 1.主机查找 这个就是基本操作...
Linux————利用SUID
热门推荐
Fly_鹏程万里
05-23 2万+
bgvfdcfhjmkjnhb
VulnHub系列』DC-1靶机渗透测试
qq_45300786的博客
11-29 608
0x00 前言 在开始之前我们需要知道的是, 靶机的ip获取方式是dhcp服务器来分配ip的,如果dhcp没有自动分配ip的话,请看我的置顶文章,解决没有ip的问题 而我的VMware就只有NAT模式可以使用dhcp服务器 那么接下来都将是NAT模式 工具、知识点和漏洞 nmap metasploit mysql 网站配置 hydra find命令 suid 配置环境 kali: 192.168.100.34 靶机DC-1192.168
vulnhub靶场 DC-1靶机 渗透详细过程
黑战士的博客
07-26 1351
1.扫描局域网主机netdiscover用法2.开放端口扫描2.MSF使用3.hydra爆破:sudo hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.0.100hydra+John密码包以上两种方式可以爆出flag4的密码4.suid:Linux下用SUID、find命令exec。
VulnHub靶机 DC-5 打靶 渗透测试详细过程
网络空间安全学习
04-18 1461
在访问/footer.php,/thankyou.php时发现跳转界面和原始界面的年份不一样,总是来回变动,刷新也会变动。目录爆破发现,存在file参数,尝试读取一下/etc/passwd文件,成功读取/etc/passwd文件并回显成功。当然既然知道了包含/footer.php文件,那么我们也可以去猜解参数,常用的如file,尝试一下即可,或者爆破。暴露出如下几个目录,去访问发现其中的目录,爆出的目录其中有一些界面为默认界面当中点击跳转的目录。给予sh文件执行限,直接执行一下试试,成功
VulnHub靶机 DC-7 打靶 渗透详细流程
网络空间安全学习
04-22 1314
主机发现—端口扫描—目录爆破发现后台—服务探测—白盒测试(源码当中找配置文件)—ssh远程登录—邮件信息—找到备份文件脚本—发现脚本当中的drush命令—修改后台密码—进入后台—寻找可代码执行或getshell地方—drupal8不允许执行命令(模块)—下载新的插件—getshell—反弹shell—追加反弹命令—即可。由于我们上一步骤已经得到了backups.sh脚本属主为root,属组为www-data,所以我们将反弹shell命令添加到脚本当中,等待执行脚本反弹shell即可得到root限。
Vulnhub靶机 DC-6 打靶实战 详细渗透测试过程
网络空间安全学习
04-20 2094
查看sudo -l 下的内容,发现有jens用户限执行的脚本,正是刚才我们刚才看见的shell脚本,接下来可以利用此,来反弹jens用户限的shell。当前目录下无可利用的文件信息,查看家目录,发现有四个用户信息,逐一查看,发现在jens家目录和mark家目录下有文件信息,逐一查看。mark家目录下有一个文件夹,文件夹当中为一个txt文本文件,查看后发现graham用户的信息,尝试ssh远程登录到graham。发现可以正常的命令回显,那么接下来直接进行反弹shell,kali端开启监听。
SUID
snowlyzz的博客
08-14 1896
久经不衰的SUID
SUID
一只web狗
07-01 1万+
SUID介绍
SUID(一)
02-19 550
大家好,我是东北码农。今天和大家分享linux下的SUID。 本文会按照下面主题进行分享: 什么是 什么是SUID 用户、进程凭证、文件限 下一篇文章会分享: CVE-2021-4034 漏洞讲解 CVE-2021-4034 利用实战 这个漏洞发现还不到3个月,应该还可以用奥。 0x1 什么是 最近研究了一下CVE-2021-4034,利用polkit在linux上得漏洞。就是一个非root用户,不知道root密码,利用漏洞获得root限的过程。 看一下CVE-2
vulnhub DC-1
底层社会中的弱智
08-27 238
新安装的扫描器 droopescan 找到目标靶机IP 扫描全端口 可以看到80端口的CMS采用的Drupal 7 ,使用新安装的扫描器进行扫描 也可以使用whatweb命令查看CMS 扫描器 进入MSF所搜可以使用漏洞利用模块 利用模块设置模块参数 开始 ...
vulnhub dc1
01-14
### VulnHub DC-1 渗透测试实验环境下载与指导 #### 实验环境概述 VulnHub上的DC-1是一个面向初学者的虚拟机镜像,旨在供一个安全的学习环境来练习基本的渗透测试技能。该靶机运行Ubuntu操作系统,并部署了一个存在多个漏洞的应用程序——Drupal 7网站。 #### 下载指南 为了获取DC-1的实验环境,访问[VulnHub官方网站](https://www.vulnhub.com/)并搜索“DC-1”。按照页面指示下载对应的OVA文件,此文件适用于VirtualBox或VMware等虚拟化软件安装使用[^1]。 #### 测试前准备 确保攻击者使用的Kali Linux系统已经正确配置网络设置以便能够与目标机器通信。通常情况下,建议采用NAT模式或者桥接模式连接至同一局域网内[^2]。 #### 初始信息收集 启动虚拟机之后,可以先执行简单的主机发现操作,比如使用`ping`命令确认目标存活状态;接着运用工具如`nmap`进行全面端口和服务扫描: ```bash nmap -A 192.168.189.172 ``` 上述命令将会返回有关开放端口以及可能存在的服务版本的信息,这对于后续攻击路径的选择至关重要[^3]。 #### Web应用分析 根据前期侦察得知,Web服务器托管着一个Drupal CMS实例。考虑到这是较旧版本(Drupal 7),可能存在已知的安全缺陷。此时可查阅CVE数据库或其他资源了解针对此类系统的具体攻击向量[^4]。 #### 获取初始Shell 一旦识别到可用漏洞,则可通过Metasploit框架快速建立远程会话。例如,如果选择了某个适合于Drupal 7.x的exploit模块,那么只需指定RHOST参数指向受害者的IP地址即可尝试入侵[^5]。 #### 限 成功植入后门并不意味着结束战斗。接下来的任务是要设法升当前用户的限级别直至root账户。这一步骤往往涉及寻找具有SUID位设定的二进制文件并通过它们实施本地技巧。例如,利用`find`命令定位潜在的目标对象: ```bash find / -perm -u=s -type f 2>/dev/null ``` 以上代码片段用于遍历整个文件系统树结构,过滤出那些设置了SETUID标志且属于常规类型的节点[^6]。 #### 寻找Flag文件 在整个过程中,参与者需留意任何关于隐藏标记(flags)位置的线索示。这些flag通常被放置在特定目录下作为完成各个阶段挑战任务的关键证明材料。对于本案例而言,至少存在五个不同级别的flag等待探索者去发掘[^7]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值