freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

渗透测试实战:DC-1 靶场入侵
  • 关注
渗透测试实战:DC-1 靶场入侵
2019-03-21 11:43:51
所属地 湖南省

原创: Lhaihai 合天智汇

Background Information

vulnhub 地址:

https://www.vulnhub.com/entry/dc-1-1,292/

There are multiple ways of gaining root, however, I have included some flags which contain clues for beginners.

There are five flags in total, but the ultimate goal is to find and read the flag in root's home directory. You don't even need to be root to do this, however, you will require root privileges.

作者说一共有五个flag,有多种方法去提权,我们最终目标是去拿到/root的flag。总的来说,难度不高,适合新人练手。

知识点

CVE-2018-7600 Drupal核心远程代码执行漏洞

drupal配置文件和重置管理员密码

suid提权

Information Gathering

发现主机:192.168.190.147

image.pngimage.png用masscan快速扫描端口

image.png再用nmap发现更多信息

image.pngimage.png

80端口是drupal 7 服务

111 端口是 rpcbind服务

入侵靶机

寻找drupal 7的漏洞,18年有两个CVE

CVE-2018-7600 Drupal核心远程代码执行漏洞

CVE-2018-7602

在github找到POC脚本

Exploit for Drupal 7 <= 7.57 CVE-2018-7600

https://github.com/pimps/CVE-2018-7600

试了一下可以用,真舒服

image.png接着反弹一个shell
image.png查看drupal版本,因为CHANGELOG.txt被删掉了,可以看includes/bootstrap.inc

image.png在 /var/www/ 下有个flag1.txt,提示我们去看配置文件

image.pngdrupal的配置文件是 /sites/default/settings.php ,主要是数据库连接配置,我们发现了flag2以及数据库账号密码

image.png我们登录mysql查看下用户,发现有admin和Fred两个用户

image.png

搜了一下drupal怎么存储用户密码,它是把密码和用户名或其它随机字符串组合在一起后使用 MD5 方式加密。

下面这篇文章介绍了一个重置密码的方法,Drupal 7 忘记密码后重置管理员密码 : 

https://www.yuzhi100.com/article/drupal-7-chongzhi-guanliyuan-mima

用hashcat暴力破解也是可以了,参考这篇:

https://klionsec.github.io/2017/04/26/use-hashcat-crack-hash/

但flag2都提示暴力破解不是唯一的方法,那就怎么省事怎么来了

用drupal自带的 password-hash.sh 加密 drupal

image.png重置管理员密码为drupal

image.pngimage.png我们回到80端口,用admin:drupal登录上了

image.pngimage.png看一下flag3,要我们去查看shadow文件,看到perm 猜测是不是suid提权

image.png

image.pngimage.png看起来没有什么特别的,继续翻翻目录,在home目录发现flag4

image.png

提权

运行一些脚本看能不能发现什么,再手动探测一下

https://github.com/NullArray/RootHelper(脚本下载器,滑稽)

https://github.com/rebootuser/LinEnum

image.png给予执行权限后执行

image.png发现

image.png结合之前flag3的提示,查看find文档,有个-exec的参数执行命令,cat后面的{}表示find查找到的文件名

image.pngimage.png拿到密码的sha256,试试能不能爆破密码出来

image.png

然后我用rockyou密码本去跑了一下.....

在我的电脑疯狂咆哮的时候,我终于想到了既然我可以用root权限读取shadow,那也可以读取/root目录下的文件

image.png既然都可以用root执行命令了,那就试试反弹shell,把命令写进shell.sh脚本,然后执行,成功获取root shell

image.pngimage.png

Thanks for reading.

参考链接:

http://topspeedsnail.com/John-the-Ripper-learn/

优化批量破解shadow

【安全科普】Linux提权——利用可执行文件SUID

https://www.anquanke.com/post/id/104697

https://www.freebuf.com/sectool/121847.html

https://wangchujiang.com/linux-command/c/find.html

https://justcoding.iteye.com/blog/1407697

本文为合天原创,未经允许,严禁转载。

# 合天智汇
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者