vulnhub dc1

下载地址1：https://www.vulnhub.com/entry/dc-1,292/

下载地址2：https://pan.baidu.com/s/15CUDP2252c_1NFzMOWUKvQ 提取码: md7x

打开靶机先用nmap 扫描

nmap -sN -T4 192.168.167.0/24

 

因为局域网内开启的主机比较多扫出了很多IP粗略看一下，有一台开放端口比较多的IP:192.168.167.42

nmap -sV  192.168.167.42

开启了22 80 111端口也确定这就是靶机后开始渗透

22为ssh端口80为http端口

ssh尝试kali默认密码爆破无效那就上http看一会，访问网页后

虽然下面有输入的地方但是没有看到get方法传参的迹象基本sql注入闭合也没啥用

然后又用dirbuster扫描了网站的旁站扫出来挺多基本没用

在网上查抄半天发现这个网站是基与 Drupal 7做出来的站点DRUPAL有很大的漏洞所以直接进msf开始漏洞利用

都试以下发现exploit/unix/webapp/drupal_drupalgeddon2这个可以进去

设置好参数RHOSRTS

顺利获得meterpreter 

 初步进入啥权限都没有甚至在后台还做了命令限制

比如ll不能用ls能用

 试命令的时候发现less可以用就打卡了ls看到的flag1

提示每一个CMS都会有一个配置文件但是现在cat命令cd命令都用不了还是得先提权

用post/multi/recon/local_exploit_suggester进行提权不行就在网上搜了一下

看到很多文章说suid提权但是我试了半天没啥用然后看到了python提权法

python -c 'import pty;pty.spawn("/bin/bash")'

 虽然不是root权限但是很多命令被放开了，通过cat install.txt找到了flag1提示的配置文件

 

查看 cat  sites/default/settings.php

上面显示了数据库的名称账号密码那就上数据库看看吧

 

在他提示的库里找到了users这张表然后查看一下这张表 

看到了admin这个用户但是密码还是加密的状态解密肯定搞不定了这还真不会

网上找了一下说环境里面提供了算密码的脚本有点高级

用这个password-hash.sh算一个hash出来然后更新密码 

 

 

很成功那就直接去网站上登录试试 

 根据提示访问find ./ aaa -exec '/bin/sh' \;

讲道理这个地方我也没怎么看懂在前面我试的时候suid提权不行现在用到这一步在网上查了以后说用提示的exec有特殊find权限然后就可以了

 然后翻找一下就可以看到thedinalflag.txt

不是flag4都没用上主要最后这里有点迷惑原理我还不懂但是权限够了拿到了最后的flag就结束了