vulnhub之DC-1靶机

一、靶机下载链接
https://www.vulnhub.com/entry/dc-1-1,292/
二、主机发现
arp-scan -l
三、端口扫描

nmap -sT -p- -A 192.168.113.151

发现22、80、111、58019端口开放

四、以80端口作为突破口，浏览器访问
发现是一个登陆框，且是drupal cms
五、进入metasploit模块查找有没有可以利用的模块

msfconsole -q

先使用年份近的
失败了，换一个。
成功getshell，进入交互式shell

六、提权
发现flag1.txt，查看
提示查看配置文件
去sites目录下查看


flag2，发现数据库的后台登录账户和密码
用户名：dbuser密码：R0ck3t

七、后台登录mysql数据库
mysql -u dbuser -pR0ck3t
进来了，查看都有哪些库

发现有一个·drupaldb库，看看库中有什么表

发现有一个users表，看users表中的列
有admin 和Fred两个用户。drupal 7 中有一个password-hash.sh脚本，利用它替换管理员的密码。
scripts/password-hash.sh
复制这串密文。进入数据库修改密码
修改成功。
八、后台登录

随意点一点
发现flag3，提示你通过-exec命令解决得到shadow的问题。
查看passwd文件与shadow文件。

权限不够，无法访问。
九、提取
suid提权，查找符合条件的文件
find / -user root -perm -4000 -print 2 >/dev/null
发现find以suid权限运行，通过find执行的命令将以root权限执行。
提取成功。

在root目录下发现最后一个flag！！！