DC-1靶机渗透

DC-1靶机渗透思路：

下载链接：https://www.vulnhub.com/entry/dc-1,292/

打开虚拟机在DC-1靶机的设置中修改网络适配器为NAT模式。

记得记一下DC-1的MAC地址。

首先我们知道了拿到靶机需要拿到5个flag，然后根据每个flag的提示找到下一个flag。

信息搜集

DC-1和kali现在属于同一个网段，我们根据靶机的MAC地址，使用nmap扫描可以找到DC-1的ip地址，然后进行端口扫描。

nmap -sP 192.168.140.0/24

nmap -sV -A 192.168.140.132

发现80端口开放，查看网站信息，发现是一个Drupal框架搭建的网站，使用Wappalyzer，或者查看robots.txt暴露出的信息，可以获取到Drupal的版本。

MSF

在MSF中搜索，drupal利用模块进行攻击。

使用exploit命令执行攻击，利用drupal_drupalgeddon2

ls可以看到 flag1.txt

flag1.txt
Every good CMS needs a config file - and so do you.

根据flag1的提示，我们查看CMS配置文件，Drupal的配置文件是网站根目录下的/site/defaultx下的setting.php文件。

flag2：

Brute force and dictionary attacks aren’t the

only ways to gain access (and you WILL need access).

What can you do with these credentials?

翻译：

暴力和字典攻击不是

只有获得访问权限的方法（您将需要访问权限）。

您可以使用这些凭据做什么？

并且我们查看到了数据库账号密码

username：dbuser

password：R0ck3t

登录数据库

使用命令shell拿到shell，然后再使用命令python -c import pty; pty.spawn('/bin/bash')"获取一个交互式shell

查看users表，如果pass是明文，我们就可以直接登录192.168.140.132这个网站，密文产生的脚本是/scripts/password-hash.sh，使用这个脚本产生123456密文，产生的密文替换数据库中admin的密文，admin用户的密码就能改成123456，完成后使用update命令更新。

登录网站

登录drupal，发现flag3，提示要使用find命令

爆破ssh密码

并且发现了flag4且打开了ssh，所以尝试使用九头蛇爆破ssh密码，得到登录密码为orange，登录之后在flag4用户的home目录中，发现flag4.txt

find提权

然后使用find命令提权：

使用方法find (一个路径或文件必须存在) -exec 执行命令 （结束）;

使用命令find ke1r -exec '/bin/sh' \;最终提权至root权限，ls找到finalflag.txt