信息收集
使用nmap对靶机ip地址进行探测
先确认了本机IP地址是192.168.31.129,所以dc靶机是192.168.31.135
然后对靶机进行端口扫描
80端口渗透
发现80端口进行访问
发现是cms,系统是drupal7,通过查找找到相对应的cve漏洞,这里使用msf进行攻击
攻击成功,获得www的shell终端,获得flag1.txt
Flag1.txt让我们暗示查看cms的配置文件,通过搜索找到cms的数据库配置文件,找到flag2.txt和mysql的账号密码
使用本机连接时出现错误,应该是设置了不允许远程用户访问,这时我们使用www的终端
进行mysql数据库登录,通过对mysql数据库的信息收集,发现敏感表users表
查看users表内容发现admin的加密密码
通过cmd5解密解出密码53cr3t
登录找到flag3,并且提示让我们获取shadow文件
登录异常用户
查看shadow文件发现没权限,这时候我们通过查看passwd文件发现用户flag4
让我们去root目录找其他的flag,注意我们有个flag4用户,先爆破他的
找到密码orange,然后进行登录,发现权限还是不够,这时我们想到提权
提权
先试试find提权,发现/usr/bin/passwd有root的s权限,符合suid提权,接下来进行实施
这里好像出了问题,用/usr/bin/passwd文件提不了权,但是用/usr/bin/find文件就成功了,
继续使用root权限来获取根目录下的flag
成功得到最终flag,但不尽兴,于是想添加一个管理员账号,通过root权限向shadow文件写入一个带有盐值的账号和密码就行了,接下来开始实施
添加后门用户
先根据靶机的密码盐值生成一个6位的,账号为hacker,密码为hahahack,接着根据shadow文件的密码格式仿照一个密码并写入
然后再往/etc/passwd文件里给hacker用户留一个位置,并且让他登陆后是root用户
然后su hacker就可以登录到root用户了