目录
一、扫描存活主机
使用ping脚本扫描存活主机,找到靶场IP为192.168.18.132
或者使用:arp-scan -l也可
二、爆破目录
使用dirsearch扫描目录,但没有发现可利用的地方。
三、扫描开放端口
Nmap扫描端口,22、80、111开放
四、端口利用
使用hydra先爆破22端口
访问80端口,是Drupal的CMS,版本为7。
五、获得webshell(flag1)
使用msf查找drupal历史版本漏洞:search drupal,选择并设置Rhosts为目标IP。
运行成功后返回了会话,查看当前权限为低权限用户。列出当前目录文件,找到flag1.txt,指引我们去查看配置文件。
先上传一句话连接蚁剑,方便查看文件及输入命令。
六、利用SUID提权
查找具有SUID权限的文件:find / -user root -perm -4000 -exec ls -ldb {} \;
执行find语句:find shell.php -exec "whoami" \;显示当前用户为root,提权成功。
七、flag2
根据flag1的提示,需要查看配置文件。查找config文件,没有相应文件:find . -name confi*
查找set*文件,存在settings.php:find . -name set*
settings.php文件存在flag2以及数据库账号密码。Flag2意思是“暴力破解和字典爆破没有很大用处,只有获得访问权限,你能用这些数据做些什么”,应该是需要利用数据库的账号信息。
八、数据库利用
使用命令mysql-udbuser -pR0ck3t登录数据库,这里蚁剑的虚拟终端一直没有反应无法登录。需要在msf中的shell先利用python开启交互式shell:python -c "import pty;pty.spawn('/bin/bash')"
因为上面settings.php中显示了当前使用数据库为drupaldb,use drupaldb选择当前数据库后,show tables查看里面存在的表名。
Users表里可能存在登录信息,select * from users查看表里数据,存在用户admin以及hash加密的密码。
该密码比较难解密,可能存在进行hash加密的文件,使用命令:find . -name *hash*查找到进行加密的文件./scripts/password-hash.sh
运行该sh文件,给出的帮助信息提示使用方法为.sh文件后+密码,
以密码为1234运行该文件试试:.sh 1234后,返回了加密后的hash值。
既然无法破解admin的密码hash,那么我们可以换种思路,替换数据库中admin的hash为刚刚1234的hash。
替换密码hash:
update users set pass="$S$D5UBpGw3PHALFOr/err5hMh2c4JT93J9rCHQnyxXj/JPoAPliJWt" where name="admin";
使用admin/1234登录成功。
九、flag3
登录后点击左上角“Dashboard”,会出现flah3,再次点击即可看到提示。
Flag3大意为:使用特殊权限可以帮助找到 /etc/passwd 文件,但是需要使用 -exec 命令才能找到如何获取 /etc/shadow 文件中的内容。
十、flag4
根据提示先查看/etc/passwd文件,找到一个目录/home/flag4。
进入该目录查看flag4.txt。flag4大意为:能否使用相同的方式去查找或访问root中的flag,或许没那么容易。应该是需要提权后再查看。
十一、flag5
上面已经利用suid提权,但是只能执行简单的whoami命令,无法帮助我们进入到root目录下。所以需要再使用命令:find / -exec "/bin/bash" -p \;切换到root权限的shell。并在root目录下找到最后一个flag文件thefinalflag.txt
十二、总结
- 比如在扫描存活主机时,我使用ping脚本,做完以后查看其他师傅的文章发现还可以使用arp-scan -l。
- 扫描端口加上-A参数,能详细显示出各端口的信息。
- 还考察了对exp的搜索发现,可以在msf上搜索,也可以去exploit-db查找。
- 对MySQL基础语句进行利用。
- 最重要的对SUID提权有了新的认识。需要先查找具有SUID权限的文件,再利用该文件执行高权限命令达到提权。
92
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
