Vulnhub 靶机DC-1

1、扫描局域网中的IP地址，确定靶机ip

Arp-scan -l

2、确定靶机IP后扫描靶机开放的端口

nmap -sV -p- 192.168.50.138

发现扫描到四个开放的端口80、42458、111、22

3、直接先访问80端口，是一个登录界面就不需要扫描网站目录来找登陆界面了

4、这时候想办法查看该网站的CMS，通过CMS的漏洞进行下一步渗透，我是利用火狐插件wapplayzer来查看的

5、知道网站的CMS是Drupal7后，下一步就是找drupal7这个CMS是否存在可以利用的漏洞，采用msf进行漏洞利用，在kali工具中打开metasploit framework 或者直接输入命令

6、查找漏洞，利用序列号为1的漏洞 exploit/unix/webapp/drupal_drupalgeddon2       2018-03-28    excelle

7、选择序列号为1 的漏洞

设置ip

Exploit

Shell

python -c 'import pty;pty.spawn("/bin/bash")'  //使用python生成一个伪终端

得到flag1

查看flag1 每个好的CMS都需要一个配置文件——你也是。

Flag1的提示好像是要我们查看配置文件，顺着目录一步步的去查看，得到flag2

* flag2

 * Brute force and dictionary attacks aren't the

 * only ways to gain access (and you WILL need access).

 * What can you do with these credentials?

*旗子2

*蛮力攻击和字典攻击不是最好的选择

*获得访问权限的唯一方法（您将需要访问权限）。

*你能用这些证书做什么？

8、根据flag的提示，说不需要去爆破密码，往下面看看发现有数据库的账号密码

9、登录数据库，查看数据库

10、发现drupal的数据库，进入drupal的数据库，查看数据库的表

11、发现有一个user表，查看users表，这里并不是乱码，而是超过缓冲区的部分比较乱

13、查看users表结构，只查询name、pass、login字段

14、发现密码是加密的，使用hash-identifiter工具查看密码的加密方式,发现并查询不到这种加密方式

15、百度后发现，drupal是用password-hash.sh来生成这种密文的，退出数据库查找文件

find / -name password-hash*

16、发现这个文件无法将加密的解密，利用这个文件生成一个密码123456去替换数据库admin用户的密码，注意这个文件要在scripts目录下执行否则执行不成功

17、得到密码后连接数据库修改密码，不可以直接用明文修改，密码会无效我已经尝试过了

18、修改后去登陆界面登录，登录成功，仔细找找发现flag3

19、特殊PERMS将有助于找到密码，但您需要执行该命令，以确定如何获得阴影中的内容。这个提示没有看懂，查看/etc/passwd文件发现有一个flag4用户      

20、用hydra工具对账户直接进行暴力破解得到：user：flag4   passwd：orange

22、远程连接dc-1或者直接用靶机登录，得到flag4

您可以使用相同的方法查找或访问根目录中的标志吗？

可能但也许没那么容易。也许是吧？

23、根据他的提示查看根目录发现没有权限无法使用cd命令

24、要想办法提权，用find提权成功

find -name flag4.txt -exec /bin/bash -p \;

25、进入/root 得到最后的flag

做得好！！！！

希望你喜欢这一点，并学习了一些新技能。

你可以告诉我你对这次小旅行的看法

通过Twitter联系我-@DCAU7