1.启动DC-1虚拟机设置为NAT模式保证攻击机和靶机在同一内网
2.使用arp-scan工具对内网进行扫描(需要最高权限)
分析:可以看到扫描出了4个存活主机地址,254是vm网关排除,1是本机地址,2可以忽略那是其他虚拟机。
3.使用nmap 扫描主机开放端口
分析:分别打开了 22,80,111,37372端口 SERVICE 字段对应该端口运行的服务。
4.对80端口进行访问并使用whatweb分析其使用的框架(其实访问网页就可看出使用的是Druoal框架)
分析:服务器版本apache 2.2.22,内容语言 中文,使用框架 Drupal,js框架JQuery, title提示内容:Welcome to Drupal Site | Drupal Site .........
5.先使用msf看一下有无可利用的框架漏洞
分析:Rank字段表示漏洞利用等级 Name是存在路径
6.我们查看等级最高的&&最新的漏洞
分析:第一条指令为切换到该漏洞的利用文件下,第二条指令为使用该漏洞需要配置哪些值 current setting为已经设置的值,如果未设置有默认值
7.设置必要参数并运行
8.使用shell指令验证结果(成功)
9.查看下面的flag1.txt
分析:提示“每一个好的CMS都需要配置文件” 很显然还有flag2.txt
10. 寻找该CMS的配置文件,使用ls -l 看一下哪些是目录哪些是文件(着重看什么config之类的)
11.百度了一下发现该框架的配置文件名叫 settings.php(找到flag2,并且获得数据库密码,到这里其实我是想直接提权的但是给数据库我就去看了一下)
12.登录数据库发现web的用户和加密的密码
分析:如果我们插入123456的加密值就可以登录界面我们输入123456就绕过了(其实我一开始的想法是直接该登录验证逻辑的毕竟都拿到权限了)
13.在scripts目录找到password-hash.sh
分析:内容为接受参数并进行加密输出(但是要注意他的包含路径,得在www目录下)
13.输出加密的明文并进行替换,登录查找content获得flag3和提示让我们提权。
14.使用find进行提权,查看root下的文件获得flag4
game over。