靶机实战-DC-1

DC-1靶机实战

1、主机发现

优点是快，但不能跨网段

2、端口扫描

3、端口详细信息扫描

4、访问80端口

发现网站使用Drupal cms管理系统而且是drupal 7
用msf去找drupal 7的漏洞利用：

使用最新的漏洞尝试攻击


拿到shell//先看权限，权限不够就提权
使用python 切成交互式shell

发现flag1.txt，查看，提示查看cms的config文件

找到配置文件路径

百度了一下路径为上图，发现了flag2以及数据库账号密码

flag2又给出了提示，说暴力**不是唯一的方法，还给出了数据库的账号和密码，但是登不上去，先pass
查看/etc/passwd

发现flag4用户，可以用hydra+john the Ripper**。
hydra是kali自带的工具，john需要下载使用：



**：

得到flag4用户的密码为orange
通过ssh远程连接

然后再用上面得到的mysql账号和密码去登陆




得到了用户的账号和密码，但是密码经过加密了，百度查找drupal重置密码的方法，是直接把user表里的管理员字段改为
$S$SCDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4

然后就可以用password登陆了
原理就是字符串的SHA-512加密运算的结果就是
$S$SCDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4
返回主页，尝试在网站上登陆，admin/password


发现了flag3文件，并给出提示，是让我们通过suid提权，SUID可以让调用者以文件拥有者的身份运行该文件
在服务器上找到一个带有 suid 权限的文件，发现“find”命令设置了SUID位
find / -perm -u=s -type f 2>/dev/null

创建一个文件，查找文件后执行命令，root权限

拿到root权限