1.下載地址

https://www.vulnhub.com/entry/dc-1,292/

2.查找目標靶機ip

arp-scan -l

目標靶機的ip為192.168.0.119

3.使用nmap進行端口掃描

nmap -sT -T4 -A -p- 192.168.0.119

開放的端口如下

先訪問一下80端口看看有啥東西

可以看到是drupal的cms,我們查看下robots.txt

查看一下drupal的版本

我們知道了drupal的版本,百度搜索一下drupal7.x的漏洞就行了

我們也可以去search一下漏洞庫

發現一個7.x的rce是msf模塊的

我們啟動msf,進去查找之后發現有這些可以使用的exp

這里我們使用第二個exp

設置好如下參數之后

我們便獲得了一個shell會話,看了之前的文檔第四個exp也是可以用的

進入shell之后,使用python獲取標準的shell

在這里發現了flag1.txt

查看之后發現要我們查找配置文件

我們根據提示在/sites/default/settings.php中找到了數據庫的賬號密碼,flag2也在這個文件內

賬號:dbuser

密碼:R0ck3t

連接到數據庫查看

進入數據庫查看表

users表中的密碼是加密過的

使用\G顯示的更便捷一點

由于drupal的加密是自己寫的加鹽算法,所以我們查找它網站下有沒有加密的腳本或者文件

找到了它加密密碼的hash算法,我們加密一個自己的密碼然后進數據庫更新admin的密碼

然后進入數據庫進行更改密碼$S$DVbPLqccnhhiYOOhnYMomjtRlcr5cHIaClR50MEpbcE.uS5BfdyY

更新之后我們去登錄一下后臺看看,在dashboard目錄下發現了flag3

提示我們使用find查看passwd

find / -perm -u=s -type f 2>/dev/null查看可以利用的命令,發現find可以利用

先查看passwd文件

發現了flag4但是無法連接,但是之前我們發現22端口是開放的,我們爆破一下試試

hydra -l flag4 -P /usr/share/john/password.lst 192.168.0.119 ssh -T 11 -vV

爆破得到的密碼是orange

我們登錄之后查看flag4.txt,讓我們提權到root

我們之前已經知道find命令可以提權

touch getshell

find getshell -exec "/bin/sh" \;即可拿到sh的root權限

進入到root的根目錄下

已經可以看到最后的flag文件了

到此滲透測試結束

頁面網址: http://www.geekpeople.top/Solution/2021-08-03/478.html