Vulnhub靶机DC系列-DC1

一、下载所需工具

• 靶机：https://www.vulnhub.com/entry/dc-1-1,292/

• nmap

• msf

• arp-scan

二、靶机建设

1. 导入虚拟机

2. 查看虚拟机的mac地址，选择网络适配器，高级查看

   
   

三、信息收集

3.1查询DC-1靶机的IP地址

使用nmap查询，通过靶机mac地址找到对应IP

sudo nmap -sn 192.168.182.1/24

使用arp-scan查询靶机IP地址

arp-scan -l

3.2查询靶机服务信息

使用nmap查看服务器信息

nmap -sV 192.168.182.151

通过上图可以看到有三个服务

1. ssh：专为远程登录会话和其他网络服务提供的安全性协议

2. http：通过80端口向外提供web服务

3. rpcbind：RPCBind是linux平台一种通用的RPC端口映射功能。

查看http服务访问IP

通过插件查询是一个# Drupal7的web站点

四、漏洞利用

使用msf进行利用

使用search搜索Drupal的利用模块

使用use选中要使用的模块

使用show options或options或info查看模块配置信息

一大堆东西比如这里显示的可利用的版本，注意下边的选项参数

这里有yes 的是必须设置的但是有默认值的你可以保持默认 这里设置攻击目标rhosts set rhosts http://192.168.182.151

然后你可以再次info查看配置信息保证没有遗漏 这边我就不查看了我直接run进行利用

当看到meterpreter表示已经成功 可以通过shell获取靶机shell

这里我输入了ls，但是没有终端的箭头指引很难受

python -c 'import pty; pty.spawn("/bin/bash")' 使用这条命令获取交互式shell

我这里直接在meterpreter中进行操作

发现存在flag1文件，cat查看

提示查看CMS的配置文件 通过百度查到Drupal 配置文件：/data/wwwroot/drupal/web/sites/default/settings.php 所以cat查看这个配置文件

文件内容中出现了flag2提示，配置文件中也显示了数据库的用户名以及登录密码的信息。 提示信息并不建议使用字典爆破，先利用找到的信息登录mysql数据库看是否有其他信息 这时候使用shell操作

连接数据库mysql -u dbuser -p

查看库：show databases;

选择库：use drupaldb 查看表：show tables;

查看users表中的数据：select * from users;

在drupaldb的users表中找到了admin的密码，尝试根据找到的这一串字符得到密码。搜索drupal CMS是如何生成密码的（一般是取hash（不可逆性）），所以想根据hash值来得到密码是不可能了，那么忘记密码怎么办呢？当然是想办法重置密码了。drupal中有一个文件password-hash.sh是用来计算密码对应的hash值的，也就是查到的那串字符也是这么来的。

这里遇到个小坑，需要到www目录下执行

重新进入到数据库替换admin的密码 登录数据库：mysql -u dbuser -p 修改数据： update 表名 set 列名 = 新列值 where 列名 = 旧列值

update users set pass = '$S$DkiZXjbSg27VQPlWyNx7XJBaXW8fNaACXiACcxhr2xGwn5WF/L0C' where name = 'admin';

替换成功 登录到后台

在content中发现flag3

这里提示去shadow文件中查找用户的密码，（shadow文件一般是需要root权限的）。

首先提权：find / -user root -perm -4000 -print 2>/dev/null

这个命令是找用户组为root，权限包括为4000对应的权限的文件，从根目录/开始 4000权限大概就是能将对应文件所在用户组的权限给其他用户组使用。

利用find来进行提取

先建立一个文件touch laela.txt find laela.txt -exec cat /etc/shadow ;

发现两个用户root和flag4 其中有一个用户为flag4。一般来说在home目录下每个用户会有一个以用户名命名的文件夹 进入可以查看到flag4.txt。由之前搜集到的信息可以得知开启了ssh服务，所以也可以尝试爆破密码再用ssh登录连接。

我这里只看到了fl后面时空的因为我按tab补全但是没显示不过可以执行 由于已经提权了所以查看root下的最后一个flag

这里需要注意需要在你新建文件提权的目录下执行

完成大功告成

五、总结