vulnhub靶机DC-1渗透分析 – 作者:Doubt0

1.信息搜集

安装靶机后，使用arp-scan获取靶机ip

sudo arp-scan -l

得知靶机ip为192.168.100.146

用nmap进行端口扫描

nmap 192.168.100.146 -p 1-65535

开放22号端口，等会儿可以使用ssh连接主机

使用dirb进行子域名扫描，然而并没有什么卵用

dirb http://192.168.100.146 /usr/share/dirb/wordlists/common.txt

直接访问主页，得知网站CMS为drupal

之前做过cms为drupal的网站，所以这里直接在metasploit里面收集漏洞。

2.漏洞利用

这里我们使用一个check值为yes，rank值较高，且年代并不久远的exp

查看可操作空间之后，发现只要设置目标地址的ip即可，淦！

进入shell之后，标志着我们拿到了靶机的屌丝权限

此时设置一个python交互式环境，增加用户体验

python -c 'import pty;pty.spawn("/bin/bash")'

由于vulnhub中的靶机很多是夺旗战（其实是菜逼只配玩夺旗战），我们查看flag1中的内容后，得到以下内容

每一个好的cms都需要一个配置文件，包括你。

这尼玛啥意思….问问度娘吧

该大佬如是说

那么….淦！

还真有，看看说了啥

这就是flag2

暴力破解和字典并不是唯一的方法…再往下翻，我去，居然有数据库的密码和用户名！

现在登录数据库！

还真TM进去了…

常规操作之后，进入了user表

密码居然是加密的…

再看看这个辣鸡CMS有啥漏洞吧！

还真有..

那就再添加一个

默认漏洞路径：

/usr/share/explpotdb/exploits/php/...

再来看数据库：

发现添加进去了

现在登录网页：

找到flag3，点进去看看

需要特殊的PERM才能找到密码，但你需要exec去找到shadow…

先使用find命令查找prem

find / -prem -4000

使用find提权

find ./ aaa -exec '/bin/sh' \;

提权成root之后，ls一下

找到thefinalflag

干得漂亮！

来源：freebuf.com 2020-07-09 19:40:55 by: Doubt0