vulnhub之DC-1靶机

一、靶机下载链接
https://www.vulnhub.com/entry/dc-1-1,292/
二、主机发现
arp-scan -l
vulnhub之DC-1靶机_第1张图片三、端口扫描

nmap -sT -p- -A 192.168.113.151
vulnhub之DC-1靶机_第2张图片

发现22、80、111、58019端口开放

四、以80端口作为突破口,浏览器访问
vulnhub之DC-1靶机_第3张图片发现是一个登陆框,且是drupal cms
五、进入metasploit模块查找有没有可以利用的模块

msfconsole -q

vulnhub之DC-1靶机_第4张图片先使用年份近的
vulnhub之DC-1靶机_第5张图片vulnhub之DC-1靶机_第6张图片失败了,换一个。
vulnhub之DC-1靶机_第7张图片vulnhub之DC-1靶机_第8张图片成功getshell,进入交互式shell
vulnhub之DC-1靶机_第9张图片
六、提权
发现flag1.txt,查看
vulnhub之DC-1靶机_第10张图片提示查看配置文件
去sites目录下查看
vulnhub之DC-1靶机_第11张图片
vulnhub之DC-1靶机_第12张图片
flag2,发现数据库的后台登录账户和密码
用户名:dbuser密码:R0ck3t

七、后台登录mysql数据库
mysql -u dbuser -pR0ck3t
vulnhub之DC-1靶机_第13张图片进来了,查看都有哪些库
vulnhub之DC-1靶机_第14张图片
发现有一个·drupaldb库,看看库中有什么表
vulnhub之DC-1靶机_第15张图片
发现有一个users表,看users表中的列
vulnhub之DC-1靶机_第16张图片有admin 和Fred两个用户。drupal 7 中有一个password-hash.sh脚本,利用它替换管理员的密码。
scripts/password-hash.sh
vulnhub之DC-1靶机_第17张图片复制这串密文。进入数据库修改密码
vulnhub之DC-1靶机_第18张图片修改成功。
八、后台登录
vulnhub之DC-1靶机_第19张图片
随意点一点
vulnhub之DC-1靶机_第20张图片发现flag3,提示你通过-exec命令解决得到shadow的问题。
查看passwd文件与shadow文件。
vulnhub之DC-1靶机_第21张图片在这里插入图片描述
权限不够,无法访问。
九、提取
suid提权,查找符合条件的文件
find / -user root -perm -4000 -print 2 >/dev/null
vulnhub之DC-1靶机_第22张图片发现find以suid权限运行,通过find执行的命令将以root权限执行。
vulnhub之DC-1靶机_第23张图片提取成功。
vulnhub之DC-1靶机_第24张图片
在root目录下发现最后一个flag!!!

你可能感兴趣的:(渗透实战)