男儿何不带吴钩,收取关山五十州。 —— 李贺《南园十三首·其五》
一、信息收集
再没有目标IP的情况下,我们使用先使用nmap来探测一下存活主机,排除掉常用的那几个IP剩下的就是我们的靶机IP了:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jlwCeC7T-1642849566605)(image!在这里插入图片描述
)]
再使用nmap来扫描一下端口,发现只开放了22和80端口:
我们访问目标靶机的80端口,熟悉的画面,是drupal无疑了,根据wappalyzer收集的信息显示,目标站点采用的是drupal 7进行搭建的:
二、外围打点
既然已经知道了目标站点使用的CMS,那就先上个漏扫看看:
不过漏扫除了扫描出几个文件目录外,基本上没啥漏洞信息,只能另寻突破口了.
尝试扫描一下目录,看看有没有备份的源码之类的东西,结果扫描了半天没啥有用的结果.
只能回到web上重新想办法了.
在首页的地方,有个导航项,我们点击的时候,发现URL地址会显示一个nid的参数.
我们尝试进行注入,输入一个单引号后发现数据库报错,并且泄露出了web网站的绝对路径:
说明确实有注入漏洞存在,那就偷个懒,直接上Sqlmap,依次爆出数据库、表、列信息后,成功获取到用户名和加密后的密码:
在各大密码破解网站上进行破解,均无果。
然后使用kali中的john密码破解工具进行破解,得到结果如下:
不过admin账户的密码并没有被破解出来,只能用john账号先登录drupal看看,老样子,看看后台有没有能够编辑PHP代码的地方,在后台翻了半天,成功找到了一处可以编辑PHP代码的地方:
写入PHP代码后保存,发现没有文件路径,完蛋。只能通过php执行命令反弹shell看看了:
在kali中监听好端口后,保存我们编辑好的PHP代码,成功getshell.
三、权限提升
既然都已经拿到普通权限了,那提权操作时肯定不能少的。
先看看能否使用SUDO提权,不过发现需要输入密码,看来是不行了。
在看了看SUID提权,找到一堆具有SUID权限的命令,其中exim4这个命令不咋熟,百度查了查,发现确实存在提权漏洞,在kali中查找exp信息,也成功找到了关于exim本地提权的的sh脚本:
先看了看46996,sh的内容,发现该脚本有两个方法,
我们先将脚本下载到我们的目标靶机上:
执行脚本,发现报错,查询得知,是是因为我们复制粘贴后格式的而难题,使用sed过滤一遍就好了。
sed -i 's/\r//g' shell.sh
过滤后,我们按照exp提供发方法来进行提权,成功获取root权限(第一种方法不行,不李姐)
