下载地址:

https://www.vulnhub.com/entry/dc-1-1,292/

主机渗透系统:

kali linux

渗透过程:

nmap全扫存活主机及端口 nmap -sV 192.168.1.1/24

1.png

进入靶机80端口的网站,发现是drupal cms,用御剑或者dirb扫描网站目录没有发现有敏感文件,于是使用msf查找该cms有哪些可利用的漏洞

2.png

发现2018年那个漏洞可以直接利用,连接成功

3.png

进入shell,查看目录发现flag1.txt,打开

4.png

提示信息说每个cms都有一个配置文件,于是猜测第二个flag藏在配置文件里面,最后在/var/www/sites/default/settings.php里面找到flag2.txt

查看flag2.txt发现里面有数据库的各种信息

5.png

得到信息后连接mysql数据库,发现连接不上,于是暂时搁置换一个思路

linux下有两个存放密码的路径,/etc/passwd/etc/shadow

二者的详细介绍参考:linux 系统中 /etc/passwd 和 /etc/shadow文件详解
https://blog.csdn.net/yaofeino1/article/details/54616440

于是查看/etc/passwd

6.png

发现有一个flag4用户,于是使用hydrajohn the Ripper爆破,hydra是kali自带,只需要下载john the Ripper

下载:wget http://www.openwall.com/john/j/john-1.8.0.tar.gz
解压:tar -xvf john-1.8.0.tar.gz

然后开始爆破ssh,爆破出密码为orange

7.png

于是连接ssh,在当前目录找到flag4.txt,查看

8.png

大致意思是让我在root目录里面找flag

想到之前有了数据库账号密码,于是在这里登陆一下。之前那个网页不知道账号密码,所以准备在数据库里面修改管理员密码

9.png

发现users表,然后查看里面的数据

10.png

发现里面的密码是通过某种加密方式加密的,在搜索引擎上面查一下drupal cms怎么在数据库修改密码,在网上找到如下一句话

1111.png
于是开始修改admin的密码,修改成功

12.png

然后登陆得到flag3

13.png

这个提示是采用find中的perm(按权限模式查找)来得到下一个flag,根据flag4提示信息进入root知道这里需要suid提权

suid提权详解:https://blog.csdn.net/nzjdsds/article/details/84843201

使用find命令查找所有拥有该权限的文件

14.png

查看一下,发现/usr/bin/find是拥有root权限的文件

15.png

然后提权

16.png

靶机上面装有python环境,所以也可以运行python代码反弹shell提权

最后在root目录找到thefinalflag.txt,游戏结束

17.png

小结:

这次打靶机学习到了linux下的/etc/passwd和/etc/shadow两个文件以及suid提权方法和find命令的使用,整个过程中体现的不足还很多,不过收获还是挺大233333