vulnhub dc1 靶场实战
https://download.vulnhub.com/dc/DC-1.zip
flag1
我丢,连个账号密码也不告诉,后来才发现就是这样的,打靶的嘛,告诉你了还打个der
1 | nmap -sP 192.168.123.1/24 |
经过筛选,此主机的IP为 192.168.123.195
再看看端口
1 | nmap -sS 192.168.123.195 |
有80端口,访问一下
好家伙,网站类型drupal,在msf里面搜一下看看有没有可利用的漏洞
好爽,有7个
挨个挨个试一试
第二个就拿到了shell,只不过只是www-data的权限,仅此网站的权限而已
ls 发现了flag1.txt
flag2
在这里告诉了我们关键词 config ,所以网站目录扫一下,看看配置文件含有config字样的,
人傻了,这里面什么信息也没有,后来才知道提示的意思是查看配置文件,这个配置文件不一定是config命名的
好家伙,然后去网上搜索了一下drupal 这个cms 的默认配置文件在什么地方
查出在/www/sites/default/settings.php 这里,settings.php就是配置文件
在配置文件中发现了数据库的库名,数据库账号密码,数据库类型
那么就登录数据库看看,无奈登录不上去
只有找其他思路了,去搜一下
发现了另一个drupal的漏洞
flag3
cve-2014-3704 这个漏洞是sql注入,能直接数据库添加用户名和密码
拦截登录包,发到repeater
更改主体内容为
1 | name[0%20;update+users+set+name%3d'roots'+,+pass+%3d+'$S$DkIkdKLIvRK0iVHm99X7B/M8QC17E1Tp/kMOd1Ie8V/PgWjtAZld'+where+uid+%3d+'1';;#%20%20]=test3&name[0]=test&pass=shit2&test2=test&form_build_id=&form_id=user_login_block&op=Log+in |
这里我添加的用户名为roots,密码是已经经过加盐加密后的,密码为thanks
然后在网站中登录,发现了flag3
flag4
关键词shadow,让我想起了etc下面的passwd和shadow
查看一波,发现了flag4用户
说明存在flag4用户,那么直接先进入flag4用户里去看一看
发现了flag4.txt,查看一下
需要提权到root才能拿到最终的flag啊
flag4
在这里还是使用find提权
1 | touch abc #在tmp目录下创建abc文件夹 |
发现root目录下有最终的flag
继续利用find来提权查看内容
总结:
- 拿到网站后,可以利用msf去搜一下有没有关于这个网站cms的漏洞,也可以去搜索引擎上搜索一下关于这个cms的漏洞
- 思路放开一点,不能死扣flag里提示的内容,可以换个方向思考一下,在找setting中入了个坑
- 学到了利用find进行提权,可以多掌握一点提权的姿势