DC-1靶机

DC-1

By：imbrave99

---

1.将kali机和DC1都设置到一个网络环境下，进行nmap简单的信息收集

发现dc-1地址192.168.136.144

2.继续nmap扫描端口情况

这里发现22端口等等可以去爆破一下密码，先访问80端口看看有什么信息

三大CMS之一
durpal
wordpress(有专用目录扫描器)
joomla有专用目录扫描器)
2.没有发现什么信息，但是知道了是drupal（开源的肯定有漏洞呗），进行一下目录扫描，这里使用avws爬下目录

这个目录值得我们关注一下，可以得到版本信息

现在知道了组件又知道了版本，可以直接百度搜索一下看看有什么漏洞。

3.进入msf模块，查看是否有直接可以利用的的exp。

使用模块

一个注入的漏洞

设置payload,HOST(这边别加上http，懒得换图片了)

EXP攻击，此时已经日进去了

发现了第一个flag文件，发现提示每一个好的cms都需要一个配置文件，你也一样，把我们引向配置文件。

寻找配置文件的目录
sites：包含了你对 Drupal 所进行的修改，包括设置、模块、主题等形式(参看图 1-5)。你从第 3 方模块库中下载的模块，

打开之后发现flag2暴力和字典攻击不是获取访问权限的唯一方法（而且您需要访问权限）你能用这些证书做什么？，还有mysql账号密码

尝试去连接mysql，先看看3306端口是否开放，这里发现需要本地登陆才行，尝试在shell登陆试试

发现不行

这里要建立一个持久性的交互shell，需要shell反弹，因为这里的shell是通过http方式获得，不能进行mysql连接
3.开启一个监听端口，使用bash反弹，发现是成功不了的

在使用shell环境获取的过程中遇到的问题孕育出来的，大家如果经常使用前各种方法进行虚拟终端环境获取的话，会发现存在一个问题，就是我们即使获取了目标虚拟终端控制权限，但是往往会发现交互性非常的差，就是发现这个虚拟回显信息与可交互性非常的差和不稳定，具体见情况有以下几个种。

问题1： 获取的虚拟终端没有交互性，我们想给添加的账号设置密码，无法完成。

问题2：标准的错误输出无法显示，无法正常使用vim等文本编辑器等；

问题3： 获取的目标主机的虚拟终端使用非常不稳定，很容易断开连接。

python 一句话获取标准shell

使用python 一句话获取标准shell的具体命令如下：

# python -c "import pty;pty.spawn('/bin/bash')"

4.进入交互shell，进行mysql的连接，mysql -udbuser -pR0ck3t

连接成功，让我们康康有啥宝贝吧！

发现了网页后台的账号密码，但是是加密存储的，使用select * from users\G可以竖着展示;

思路暴力破解hash值难度较大，第二个是更新数据库换成已知明文的hash值（www目录下有可以生成的工具）
php scripts/password-hash.sh imbrave99
hash: $S$Ddw/i1I4gbhvwnhShft2uEzgNUEmpWn5OkSS6MMF0len3fntINuD
update users set pass="$S$Ddw/i1I4gbhvwnhShft2uEzgNUEmpWn5OkSS6MMF0len3fntINuD" where name='admin';
成功登陆，发现了flag3，指向了passwd这个文件去打开看看

发现有一个flag4的用户

此时可以使用hydra对22端口进行一个爆破


成功爆破到密码orange拿下服务器密码

发现flag4，打开你能用同样的方法在根目录下找到或访问标志吗？可能。但也许这并不容易。或许是吧？

发现进入不了root，下面进行提权，利用suid标识短暂获得root权限

寻找有带有suid的命令
find / -perm -4000 2>/dev/null

利用find命令提权


over