关于VirtualBox的一些问题这里首先要注意兼容的问题,有些不是特别支持win11,可以使用最新版。

关于安装路径,我们可以做一个欺骗,它的初识安装路径是在c盘,我们先在F盘创建一个VirtualBox的文件,然后

改掉C为D,然后再换为F,后面的路径都要手打,然后就可以安装成功了。

然后导入DC-1靶机就可以了。
解决VirtualBox的Error In supR3HardenedWinReSpawn , Error relauching VirtualBox VM process:5 的问题-CSDN博客
然后我们可以设置仅主机或者是桥接里面选择自己的网卡。

然后关于靶机和kali是否在同一区域的问题:

在我们的用VMware和VirtualBox里面,它们两个的仅主机不是同一个网卡,我一般会配置VirtualBox为仅主机,kali为桥接。我们先来看看VirtualBox的

image.png

可以看到是VirtualBox Host-Only Ethernet Adapter,然后我们再去看看kali的

image.png

image.png

这里虽然给我们自动桥接好了,但是可能会存在问题,可以选择和VirtualBox的同一网卡,就在选项里面,也就可以在同一区域了。

靶机也能用桥接,我们只需要保证两个在同一网卡就行了。

image.png

我们开启DC-1靶机之后。

在kali里面先扫一下同一区域中存活的主机。

arp-scan -l

-l 使用网络接口

开启关闭靶机可以发现有一个ip有变化,那个就是我们靶机的ip

image.png

我们拿到一个靶机的ip地址,先用nmap扫端口。

image.png

扫出来22,80,111,55208端口。我们尝试去访问80端口。

image-20240801220958896

发现有个Drupal,是个框架我们尝试去找它的版本号。

image-20240801221018974

发现版本是7,我们去谷歌找漏洞。

也可以直接在kali里面找。

我们先看看漏洞库。

image-20240801221054746

发现有很多,我们可以过滤一下,只要RCE有关的漏洞,去getshell。

image-20240801221144027

这有几个可以利用,但是好像没有使用说明。使用难度有点大,我们接着看另一个漏洞库。用msfconsole里面的

漏洞库。

先输入命令进入msf

image.png

然后输入search drupal命令去寻找有关漏洞。

image.png

尽量去找excellent的,好用一点。这里我们用1(注意是从0开始的)

use 1

使用第二个模块。

然后show options 查看我们需要添加什么参数。

image.png

yes就是我们需要的参数,有些默认的不用动,把空着的rhosts补上,这是目标靶机的ip,后面的lhosts也改掉,

这是对应我们自己kali的ip。

set开始设置。

image.png

然后run开始等待。

image.png

这个样子就是可以了,我们打个shell。

image.png

发现命令可以执行。

image.png

好的cms需要配置文件,你也一样。

我们去查看配置文件。

我们上网可以查到drupal的配置文件的位置。

/var/www/sites/default/settings.php

image.png

这里得到了flag2和数据库的信息。

flag2:暴力破解和字典攻击不是(获得访问权限的)唯一方式(你确实需要访问权限)。 你能用这些凭据做什

么?

database:drupaldb
username:dbuser
password:R0ck3t

我们查看/etc/passwd可以看到flag4,先留着。

image.png
image.png

你可以使用相同的方法来查找或访问root目录中的flag吗?

我们通过前面的数据库名和密码直接连接。

mysql -u dbuser -p
R0ck3t

image.png

这里有个很奇怪的地方,语句执行成功后没有回显,当我们想办法报错之后就能回显了,所以高效的查出信息有点

麻烦。

我们直接去看drupaldb这个数据库。

出现了很多东西,吸引我的是user,我们尝试去看一下。

image.png

成功查到两个user的信息。不难发现两个的密码都进行了加密。

我们尝试去改密码,或者新加一个用户。

image.png

分享:忘记Drupal的管理员密码的解决办法 | Drupal China

我们将这个加密后的直接拿过来,用update语句对admin的密码更新。

$S$DMtruNEVmqWoqhlPwTlnFzwyBRFgQwXUfppe9pW1RqqXlMy97tzA

更新后就是admin admin了。我们直接登录。

image.png

成功登录,在里面看看有没有有用的信息。

image.png

我们在左上角的find content找到两篇文章,main里面是一堆不能直接翻译的东西,我们直接去看flag3。

image.png

特殊的权限(PERMS)将帮助找到密码(passwd),但你需要执行(-exec)那个命令来弄清楚如何获取shadow文件中的内容。

我们问问-exec可以干什么。

image.png

尝试了半天还是有点问题,再问一次吧。

image.png

find /etc/shadow -exec cat {} \;

这里一定不要忘记后面的分号。

image.png

我们拿到了加密后的账号密码。

username:

$6$rhe3rFqk$NwHzwJ4H7abOFOM67.Avwl3j8c05rDVPqTIvWg8k3yWe99pivz

password:

96.K7IqPlbBCmzpokVmn13ZhVyQGrQ4phd

这里可以回想一下flag4了。去找root里面的flag。还是老样子。

find /root/ -exec ls -al \;

然后发现找不到flag。

image.png

有点奇怪,我们再看看find /root,发现有一个flag,我们用之前的命令去读取就行了。

image.png

对于前面那个命令为什么不行,后面发现:

find /root -exec ls /root -a \;

image.png

然后我发现,这个回显次数很少。我的猜测是find查出来的回显行数是后面命令执行后的回显次数。

然后也可以参考下ai的解释:

)I6U$WH7_MWHRSUM8NGN$7Y_tmb.png

对于这个靶机看了下其他师傅的做法发现还可以通过flag4账户,ssh连接靶机,直接成为root用户,但需要进行账

号密码的爆破。

可以参考:Vulnhub靶机渗透测试——DC-1

我们来尝试一下。其实我们这里可以直接转换为root用户。

img

然后就能直接看了。

img

然后我们也可以工具爆破flag4用户。

img

然后ssh连接登录。

img

好像没什么用,提权还是用前面的find。