Vulnhub靶场DC-1 WP

前言

之前提到过最近在做vlunhub的靶场复现工作，今天开始更新writeup吧。（对着walkthrough一顿乱抄嘻嘻嘻）

关于DC-1(官网翻译来的)

描述

DC-1是一个专门构建的易受攻击的实验环境，目的是获得渗透测试的经验。

它的设计对初学者来说是一个挑战，但是它的难易程度取决于您的技能和知识以及学习能力。

要成功完成此挑战，您需要具备Linux技能，熟悉Linux命令行以及具有使用基本渗透测试工具（例如可在Kali Linux或Parrot Security OS上找到的工具）的经验。

有多种获得root的方法，但是，其中包含了一些flag，这些flag包含了一些线索。

总共有五个flag，但是最终目标是在root的主目录中找到并读取该flag。您甚至不需要成为root用户即可执行此操作，但是，您将需要root特权。

根据您的技能水平，您可能可以跳过查找这些标志中的大多数标志并直接寻找根。

初学者可能会遇到他们以前从未遇到过的挑战，但是Google搜索应该是获得完成此挑战所需信息所需要的全部。

技术信息

DC-1是基于Debian 32位构建的VirtualBox VM，因此在大多数PC上运行它应该没有问题。

尽管我尚未在VMware环境中对其进行测试，但它也应该可以工作。（我就是用的vmware，导入方法看这篇博客： https://www.cnblogs.com/sn1per/p/11947433.html ）

当前已将其配置为桥接网络，但是可以进行更改以满足您的要求。为DHCP配置了网络。

安装很简单-下载它，解压，然后将其导入VirtualBox即可。

下载地址

https://download.vulnhub.com/dc/DC-1.zip

复现过程

信息收集

攻击机和靶机处在同一个网段，首先查看攻击机ip地址为192.168.59.130

使用nmap扫描同网段下的存活主机，可以看到除了kali自身以外，还有一台主机的ip地址为：192.168.59.129，猜测应该就是DC-1靶机的ip。

nmap +sn 192.168.59.0/24

接着使用nmap扫描探测目标主机的端口信息，可以看到目标主机开放了22，80以及111端口。

nmap -sV 192.168.59.129

访问下80端口的http服务，发现是一个Drupal的CMS，使用whatweb查看以下具体信息，发现Drupal的版本为7。

whatweb 

漏洞分析

使用searchsploit搜索Drupal 7的漏洞，发现如下漏洞及EXP

searchsploit Drupal 7

漏洞利用

使用34992.py,此exp是利用SQL注入漏洞向drupal网站添加新的管理员帐户。 用法如下：

python /usr/share/exploitdb/exploits/php/webapps/34992.py -u test -p test -t http://192.168.59.129

利用此exp我向网站添加了一个用户名和密码都是test的管理员用户

使用test用户登陆网站，然后安装新模块， 从而使我可以在后端服务器上使用shell。有一个模块可以提供此功能，该模块为https://www.drupal.org/project/shell ，我安装并启用了此模块的7.x-1.0-beta5版本

访问shell模块对应的url，访问之后，可以在后端服务器运行命令，使用nc向kali提供反向shell，kali端成功监听到shell

现在，我开始检查是否有root权限。有很多技术可以做到这一点。其中之一是搜索root用户拥有的二进制文件，这是Linux中的一项功能，允许用户在特定用户的许可下执行文件。

要搜索具有的文件，我们运行“ find / -perm / 4000”命令。我发现“ find”命令由root用户拥有。另外，“find”命令具有“ -exec”选项，可用于运行命令。

因此，我们运行以下find命令以获取具有“ root”用户权限的shell，并且可以读取root主目录中的 flag

总结

学习find命令的使用，提权姿势+1！