DC-1

By：imbrave99

---

1.將kali機和DC1都設定到一個網路環境下，進行nmap簡單的資訊收集

發現dc-1地址192.168.136.144

2.繼續nmap掃描埠情況

這裡發現22埠等等可以去爆破一下密碼，先訪問80埠看看有什麼資訊

三大CMS之一
durpal
wordpress(有專用目錄掃描器)
joomla有專用目錄掃描器)
2.沒有發現什麼資訊，但是知道了是drupal（開源的肯定有漏洞唄），進行一下目錄掃描，這裡使用avws爬下目錄

這個目錄值得我們關注一下，可以得到版本資訊

現在知道了元件又知道了版本，可以直接百度搜索一下看看有什麼漏洞。

3.進入msf模組，檢視是否有直接可以利用的的exp。

使用模組

一個注入的漏洞

設定payload,HOST(這邊別加上http，懶得換圖片了)

EXP攻擊，此時已經日進去了

發現了第一個flag檔案，發現提示每一個好的cms都需要一個配置檔案，你也一樣，把我們引向配置檔案。

尋找配置檔案的目錄
sites：

包含了你對 Drupal 所進行的修改，包括設定、模組、主題等形式(參看圖 1-5)。你從第 3 方模組庫中下載的模組，

開啟之後發現flag2暴力和字典攻擊不是獲取訪問許可權的唯一方法（而且您需要訪問許可權）你能用這些證書做什麼？，還有mysql賬號密碼

嘗試去連線mysql，先看看3306埠是否開放，這裡發現需要本地登陸才行，嘗試在shell登陸試試

發現不行

這裡要建立一個永續性的互動shell，需要shell反彈，因為這裡的shell是通過http方式獲得，不能進行mysql連線
3.開啟一個監聽埠，使用bash反彈，發現是成功不了的

在使用shell環境獲取的過程中遇到的問題孕育出來的，大家如果經常使用前各種方法進行虛擬終端環境獲取的話，會發現存在一個問題，就是我們即使獲取了目標虛擬終端控制權限，但是往往會發現互動性非常的差，就是發現這個虛擬回顯資訊與可互動性非常的差和不穩定，具體見情況有以下幾個種。

問題1： 獲取的虛擬終端沒有互動性，我們想給新增的賬號設定密碼，無法完成。

問題2：標準的錯誤輸出無法顯示，無法正常使用vim等文字編輯器等；

問題3： 獲取的目標主機的虛擬終端使用非常不穩定，很容易斷開連線。

python 一句話獲取標準shell

使用python 一句話獲取標準shell的具體命令如下：

# python -c "import pty;pty.spawn('/bin/bash')"

4.進入互動shell，進行mysql的連線，mysql -udbuser -pR0ck3t

連線成功，讓我們康康有啥寶貝吧！

發現了網頁後臺的賬號密碼，但是是加密儲存的，使用select * from users\G

可以豎著展示;

思路暴力破解hash值難度較大，第二個是更新資料庫換成已知明文的hash值（www目錄下有可以生成的工具）
php scripts/password-hash.sh imbrave99
hash: $S$Ddw/i1I4gbhvwnhShft2uEzgNUEmpWn5OkSS6MMF0len3fntINuD
update users set pass="$S$Ddw/i1I4gbhvwnhShft2uEzgNUEmpWn5OkSS6MMF0len3fntINuD" where name='admin';
成功登陸，發現了flag3，指向了passwd這個檔案去開啟看看

發現有一個flag4的使用者

此時可以使用hydra對22埠進行一個爆破


成功爆破到密碼orange拿下伺服器密碼

發現flag4，開啟你能用同樣的方法在根目錄下找到或訪問標誌嗎？可能。但也許這並不容易。或許是吧？

發現進入不了root，下面進行提權，利用suid標識短暫獲得root許可權

尋找有帶有suid的命令
find / -perm -4000 2>/dev/null

利用find命令提權


over