freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

渗透测试实战:DC-1 靶场入侵

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

渗透测试实战:DC-1 靶场入侵
蚁景科技 2019-03-21 11:43:51 302252
所属地 湖南省

原创: Lhaihai 合天智汇

Background Information

vulnhub 地址:

https://www.vulnhub.com/entry/dc-1-1,292/

There are multiple ways of gaining root, however, I have included some flags which contain clues for beginners.

There are five flags in total, but the ultimate goal is to find and read the flag in root's home directory. You don't even need to be root to do this, however, you will require root privileges.

作者说一共有五个flag,有多种方法去提权,我们最终目标是去拿到/root的flag。总的来说,难度不高,适合新人练手。

知识点

CVE-2018-7600 Drupal核心远程代码执行漏洞

drupal配置文件和重置管理员密码

suid提权

Information Gathering

发现主机:192.168.190.147

image.pngimage.png用masscan快速扫描端口

image.png再用nmap发现更多信息

image.pngimage.png

80端口是drupal 7 服务

111 端口是 rpcbind服务

入侵靶机

寻找drupal 7的漏洞,18年有两个CVE

CVE-2018-7600 Drupal核心远程代码执行漏洞

CVE-2018-7602

在github找到POC脚本

Exploit for Drupal 7 <= 7.57 CVE-2018-7600

https://github.com/pimps/CVE-2018-7600

试了一下可以用,真舒服

image.png接着反弹一个shell
image.png查看drupal版本,因为CHANGELOG.txt被删掉了,可以看includes/bootstrap.inc

image.png在 /var/www/ 下有个flag1.txt,提示我们去看配置文件

image.pngdrupal的配置文件是 /sites/default/settings.php ,主要是数据库连接配置,我们发现了flag2以及数据库账号密码

image.png我们登录mysql查看下用户,发现有admin和Fred两个用户

image.png

搜了一下drupal怎么存储用户密码,它是把密码和用户名或其它随机字符串组合在一起后使用 MD5 方式加密。

下面这篇文章介绍了一个重置密码的方法,Drupal 7 忘记密码后重置管理员密码 : 

https://www.yuzhi100.com/article/drupal-7-chongzhi-guanliyuan-mima

用hashcat暴力破解也是可以了,参考这篇:

https://klionsec.github.io/2017/04/26/use-hashcat-crack-hash/

但flag2都提示暴力破解不是唯一的方法,那就怎么省事怎么来了

用drupal自带的 password-hash.sh 加密 drupal

image.png重置管理员密码为drupal

image.pngimage.png我们回到80端口,用admin:drupal登录上了

image.pngimage.png看一下flag3,要我们去查看shadow文件,看到perm 猜测是不是suid提权

image.png

image.pngimage.png看起来没有什么特别的,继续翻翻目录,在home目录发现flag4

image.png

提权

运行一些脚本看能不能发现什么,再手动探测一下

https://github.com/NullArray/RootHelper(脚本下载器,滑稽)

https://github.com/rebootuser/LinEnum

image.png给予执行权限后执行

image.png发现

image.png结合之前flag3的提示,查看find文档,有个-exec的参数执行命令,cat后面的{}表示find查找到的文件名

image.pngimage.png拿到密码的sha256,试试能不能爆破密码出来

image.png

然后我用rockyou密码本去跑了一下.....

在我的电脑疯狂咆哮的时候,我终于想到了既然我可以用root权限读取shadow,那也可以读取/root目录下的文件

image.png既然都可以用root执行命令了,那就试试反弹shell,把命令写进shell.sh脚本,然后执行,成功获取root shell

image.pngimage.png

Thanks for reading.

参考链接:

http://topspeedsnail.com/John-the-Ripper-learn/

优化批量破解shadow

【安全科普】Linux提权——利用可执行文件SUID

https://www.anquanke.com/post/id/104697

https://www.freebuf.com/sectool/121847.html

https://wangchujiang.com/linux-command/c/find.html

https://justcoding.iteye.com/blog/1407697

本文为合天原创,未经允许,严禁转载。

# 合天智汇
本文为 蚁景科技 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
渗透测试和实践
相关推荐
绕过某通用信息管理系统实现XSS
绕过某通用信息管理系统实现XSS

基础安全

绕过某通用信息管理系统实现XSS

蚁景科技

187920围观  · 4收藏 2019-08-08

Xss小游戏通关秘籍
Xss小游戏通关秘籍

基础安全

Xss小游戏通关秘籍

蚁景科技

301548围观  · 2收藏 2019-07-29

你高考志愿的咨询系统真的安全吗?
你高考志愿的咨询系统真的安全吗?

基础安全

你高考志愿的咨询系统真的安全吗?

蚁景科技

184014围观  · 1收藏 2019-07-26

记一次时间间隔一年的渗透经历
记一次时间间隔一年的渗透经历

基础安全

记一次时间间隔一年的渗透经历

蚁景科技

180834围观  · 3收藏 2019-07-25

Web渗透初探
Web渗透初探

基础安全

Web渗透初探

蚁景科技

254779围观  · 2收藏  · 6喜欢 2019-07-24

蚁景科技 LV.9
湖南蚁景科技有限公司主要从事在线教育平台技术研究及网络培训产品研发,专注网络空间安全实用型人才培养,全面提升用户动手实践能力。
  • 907 文章数
  • 675 关注者
蚁景科技荣膺双项殊荣,引领网络安全教育新潮流
2025-03-28
FlowiseAI 任意文件写入漏洞(CVE-2025–26319)
2025-03-27
路由器安全研究:D-Link DIR-823G v1.02 B05 复现与利用思路
2025-03-18