复现DC-1靶机：Drupal CMS漏洞挖掘与利用

"复现DC-1靶机的攻防演练过程，涉及网络扫描、漏洞检测、Drupal CMS的利用以及数据库操作。" 在网络安全领域，靶机是一种模拟真实系统环境的工具，用于安全研究人员和渗透测试人员进行实战演练和技能提升。本资源是关于复现名为DC-1的靶机的过程，主要活动包括网络发现、端口扫描、漏洞利用和数据挖掘。 首先，通过在Kali Linux环境中运行`ifconfig`或`ip addr`命令来查看本机所在的网段，确认Kali与DC-1靶机都在192.168.135.0/24网段。接着，使用`nmap`扫描该网段的其他主机，以发现活跃的设备。在扫描结果中，确定了DC-1靶机的IP地址。 然后，对DC-1靶机的IP（192.168.124.136）进行端口扫描，发现开放了四个端口。在80端口的HTTP服务下，存在一个robots.txt文件，访问该文件发现了一些版本信息和许可文件，但没有直接的敏感信息。为了深入探索，使用Metasploit Framework（msfconsole）进行网站目录扫描，但并未找到明显的漏洞。 根据网站底部显示的“Powered by Drupal”，确定该网站是基于Drupal内容管理系统（CMS）构建的。因此，转而在msfconsole中寻找针对Drupal的工具，尝试利用Drupal的已知漏洞。尝试了几个工具，如drupal_openid_xxe、drupal_views_user_enum和exploit/multi/http/drupal_drupageddon。最后，exploit/multi/http/drupal_drupageddon成功执行，提供了靶机的shell访问权限，找到了第一个flag（flag1.txt），其提示指向配置文件。 Drupal的配置文件通常位于`sites/default/settings.php`，在此文件中找到了flag2和MySQL的用户名及口令。这暗示我们需要进一步探索数据库。通过靶机上的shell，启动MySQL的交互模式，使用给定的凭证登录数据库。在数据库中，发现了users和users_roles两个表，其中users表包含了用户名和加密的密码。 Drupal的密码加密方式是使用特定的脚本，如`./script/password-hash.sh`。由于无法直接从加密密码恢复明文，因此选择尝试通过该脚本加密自定义密码，然后尝试替换users表中的密码字段。示例中给出的加密密码是`$S$D/GxBMUVoGpQA1R0Dw6tCWwxjsPQu46nqZMENc/ALOuOAYB9glES`，对应的用户名可能是`mysql-udbuser`，密码是`pR0ck3t`。 这个过程展示了在网络安全实践中的基本步骤，包括网络侦查、漏洞利用和数据提取，对于理解和提升网络安全技能具有很高的价值。同时，它也强调了了解目标系统（如Drupal CMS）的特性以及利用公开资源（如加密脚本）来解决问题的重要性。