靶机下载地址 https://www.vulnhub.com/entry/dc-1,292/
1、准备DC1靶机 、Kali-linux
2、使用Netdicover工具对局域网进行探测
3、使用Nmap 对 靶机进行探测 ,这里直接使用-A参数
这里可以看到 SSH-22 TCP80\111\4761 端口、服务开放;尝试访问
4、根据收集信息,对应用漏洞进行尝试,对Drupal CMS漏洞查询
以上exploit 进行逐一查看,可能存在没有payload;这里使用exploit/multi/http/drupal_drupageddon进入shell
ls查询发现第一个flag
5、drupal 目录结构—查找配置文件信息
根据查看,得到flag 2 ;并且发现 Mysql 数据库名称 用户名 密码
6、使用flag2 中的数据库信息进行登录
尝试在shell下直接登录sql,发现报错; 从网上找到资料利用python开启一个新对话框,
python -c “import pty;pty.spawn(’/bin/bash’)”
无法直接登录,报错信息
7、查看数据库信息
这里进入drupaldb数据库 ,select * from role,node;
发现flag3 ,并且UID为1,说明可以重置管理员的密码、增加管理员账户
8、修改账户密码
使用本地的scripts加密脚本;Drupal对数据库的密码加密,加密脚本位置在网站根目录下的scripts下,
该步骤没成功,语法没有问题,不知道原因。
9、增加账户
使用searchsploit 查询相关利用脚本,发现增加用户名的py脚本
修改密码 user 123456
尝试登录
找到flag3
10、最后一部分本地提权
在shell下查找允许访问的目录;find / -perm -u=s -type f 2>/dev/null 查找root权限目录
find ./ aaa -exec ‘/bin/sh’ ; 此命令利用find 原有的root权限