

r0ckyzzz's Blog.

Vulnhub靶机DC-1通关笔记

r0ckyzzz's Blog.

Vulnhub靶机DC-1通关笔记

vulnhub

Word count: 701Reading time: 2 min

 2020/03/05   Share

• 
• 
• 
• 
• 

Vulnhub靶机DC-1通关笔记

¶前言

最近有考OSCP的想法，并且好久没有做过渗透了，所以打算拿Vulnhub的靶机来练习，Dm大佬的内网渗透的书也到了，有空做一下完整的内网渗透练习，恢复一下渗透能力，回顾遗忘的知识点。

靶机链接: https://www.vulnhub.com/entry/dc-1,292/

¶开始

把靶机和攻击机kali都脸上Host-Only网络

主机发现 靶机的ip为192.168.123.3

发现靶机开放了80 22 111端口
80端口部署的是Drupal 7 内容管理框架

先查有没有Nday可以利用

有一个php 远程代码执行在msf可以直接打 试一下

打成功了 因为msf有几个drupal的exp 所以我每个都试了一下 只有这个打成功了 返回了一个shell

根目录的到flag1.txt 内容为Every good CMS needs a config file - and so do you.

意思是每一个好的cms需要config文件，应该线索就在全局config文件里

查到了全剧设置文件的路径

找到了第二个flag

意思是爆破和字典的攻击不是唯一的方法 然后给了数据库的账号密码

$databases = array (
  'default' => 
  array (
    'default' => 
    array (
      'database' => 'drupaldb',
      'username' => 'dbuser',
      'password' => 'R0ck3t',
      'host' => 'localhost',
      'port' => '',
      'driver' => 'mysql',
      'prefix' => '',
    ),
  ),
);

进入它的数据库

找到了他的users表

密码是经过哈希加密的

https://www.cnblogs.com/ooooo/archive/2011/11/17/2252347.html

寻找重置密码的方法

把admin的密码改为ilovedrupal

成功登陆后台找到flag3

在passwd里？需要-exec？

先看看passwd有什么内容

里面有flag4的内容 发现了有个flag4的用户
进入flag4的目录看看 拿到flag4.txt的内容
用同样的方法提权到root？拿到root里面的flag？

这是我的盲区 看了看其他大佬的文章才知道可以用find来提权

find / -type f -perm -u=s 2>/dev/null
看看又什么root权限的SUID命令

查了一下find的手册 发现find 可以搭配-exec执行命令！

让它直接返回一个root权限的sh

得到flag

¶总结

这个靶机前面的不算太难，很常规，一个msf就得到shell 难点在后面的提权 ，suid提权有点忘了，太久没有操作。
最后还学到了find命令可以搭配-exec来执行命令

最后记录一个在p牛的代码审计星球看到的tricks
利用nmap提权
nmap --interactive
执行sh
提权成功

因为nmap进行一些扫描的时候需要root权限
如果没有interactive如何提权呢？
写一个nse脚本内容为os.execute(’/bin/sh’),然后nmap --script=shell.nse进行提权

或者nmap的参数可控 写一个payload.nse再加载

Author：r0ckyzzz

原文链接：http://r0cky.xyz/2020/03/05/Vulnhub%E9%9D%B6%E6%9C%BADC-1%E9%80%9A%E5%85%B3%E7%AC%94%E8%AE%B0/

发表日期：March 5th 2020, 4:15:00 pm

更新日期：March 16th 2020, 5:43:01 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  Vulnhub靶机DC-2通关笔记
• Previous Post
  CVE-2018-4878复现

Powered by Hexotheme Archer

PV: :)

CATALOG

1. 1. Vulnhub靶机DC-1通关笔记
   1. 1.1. ¶前言
   2. 1.2. ¶开始
   3. 1.3. ¶总结



• Archive
• Tag
• Cate

Total : 37

2021

• 08/02利用captcha_trainer进行验证码识别

2020

• 04/04HTB靶机Jeeves通关笔记
• 04/03HTB靶机Shocker、Blue、Bank通关笔记
• 04/02HTB靶机Lame、Leagcy、Bashed、Popcorn通关笔记
• 03/27Vulnhub靶机LiterallyVulnerable通关笔记
• 03/26Vulnhub靶机SickOS1.1通关笔记
• 03/25# Vulnhub靶机SkyTower通关笔记
• 03/24Vulnhub靶机VulnOS2通关笔记
• 03/24Vulnhub靶机pwnlab_init通关笔记
• 03/23Vulnhub靶机Stapler通关笔记
• 03/22Vulnhub靶机FristiLeaks_1.3通关笔记
• 03/21Vulnhub靶机DeRPnStiNK通关笔记
• 03/21Vulnhub靶机LordOfTheRoot_1.0.1通关笔记
• 03/20Vulnhub靶机W1r3s通关笔记
• 03/19Vulnhub靶机Tr0ll:1通关笔记
• 03/19Vulnhub靶机Wintermute通关笔记
• 03/18Vulnhub靶机Raven2通关笔记
• 03/17Vulnhub靶机Raven1通关笔记
• 03/17Vulnhub靶机Lampiao通关笔记
• 03/16Vulnhub靶机GoldenEye通关笔记
• 03/15Vulnhub靶机DC-9通关笔记
• 03/15Vulnhub靶机DC-8通关笔记
• 03/14Vulnhub靶机DC-7通关笔记
• 03/13Vulnhub靶机DC-6通关笔记
• 03/10Vulnhub靶机DC-5通关笔记
• 03/10Vulnhub靶机DC-4通关笔记
• 03/08Vulnhub靶机DC-3通关笔记
• 03/06Vulnhub靶机DC-2通关笔记
• 03/05Vulnhub靶机DC-1通关笔记
• 02/22局域网DNS劫持
• 02/22Wifi-pumpkin
• 02/22攻防世界Web进阶区部分writeup
• 02/22攻防世界Web进阶区部分writeup 2
• 02/22CISCN Web love_math
• 02/22CVE-2018-4878复现
• 02/22CISCN Web1 Justsoso
• 02/22免杀相关

Security security ctf vulnhub Vulnhub OSCP vulhub Linux环境变量 HTB htb



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

