vulhub靶机DC-1
## vulhub靶机DC-1
## 简述
该靶机需要找到5个flag
靶机下载地址(.ova):https://download.vulnhub.com/dc/DC-1.zip
## 信息搜集阶段
目标主机的ip是未知的,使用扫描工具对网段进行探测
我这里使用的是fscan,目标虚拟机设置为NAT模式,对目标网段进行扫描
一般排除一下就可以确定目标主机了,目标主机为192.168.48.132
这里还扫出了漏洞信息
![image.png](http://www.icode9.com/i/li/?n=2&i=images/20210629/1624975765978384.png?,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
在msf里搜索下关于drupal的漏洞信息
第二个就是上面扫出来的sql注入漏洞
![image.png](http://www.icode9.com/i/li/?n=2&i=images/20210629/1624975793580174.png?,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## 漏洞利用
利用该漏洞,并设置参数
set targeturi 192.168.48.132 目标路径
set RHOSTS 192.168.48.132 目标ip
set RPORT 80 目标端口
show options 查看该模块设置参数
![image.png](http://www.icode9.com/i/li/?n=2&i=images/20210629/1624975824116438.png?,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
设置完成后,输入exploit开始运行
运行成功后,可以操作目标服务器了
![image.png](http://www.icode9.com/i/li/?n=2&i=images/20210629/1624975865361027.png?,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
ls查看下文件,找到flag1.txt
![image.png](http://www.icode9.com/i/li/?n=2&i=images/20210629/1624975931131194.png?,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![image.png](http://www.icode9.com/i/li/?n=2&i=images/20210629/1624975985237797.png?,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
提示我们找配置文件
切换到drupal配置文件路径下
/sites/default/settings.php
可以看到数据库的用户名密码和flag2.txt
注意这里说暴破不是唯一方法
![image.png](http://www.icode9.com/i/li/?n=2&i=images/20210629/1624976067239673.png?,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![image.png](http://www.icode9.com/i/li/?n=2&i=images/20210629/1624976059989914.png?,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
用上面得到的用户名和密码尝试登录mysql
输入shell后,发现报错了
这里查了下,是需要用python转换成标准的shell才能执行
输入python -c "import pty;pty.spawn('/bin/sh')" 即可
括号里的路径应该与上面报错提示的路径一样,有的可能是/bin/bash
![image.png](http://www.icode9.com/i/li/?n=2&i=images/20210629/1624976406635695.png?,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
输完上面的指令后出来$符即可,然后登录mysql
show databases; 查看数据库
use drupaldb; 切换drupaldb数据库下
show tables; 查看当前数据库下的表
select * from users; 查看user表中的内容
![image.png](http://www.icode9.com/i/li/?n=2&i=images/20210629/1624976501476362.png?,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
发现密码都加密了
![image.png](http://www.icode9.com/i/li/?n=2&i=images/20210629/1624976513588203.png?,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
scripts目录下有个password-hash.sh,试下能不能解开
发现只能加密不能解密,而且运行这个脚本需要退到/var/www路径下执行
![image.png](http://www.icode9.com/i/li/?n=2&i=images/20210629/1624976666118406.png?,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)