一:信息收集阶段
首先确定目标IP,然后使用nmap进行扫描,发现22 和80两个端口
接着whatweb看一下指纹,发现一个我们所熟悉的drupal7
二:渗透测试阶段
接着首先访问一下80网页,发现url里有nid传参,使用1' 尝试一下是否有sql注入
哦吼,我们最喜欢的报错环节,这就证明存在sql注入,那直接放到sqlmap跑一下
报道库为d7db
表为users
得到两个用户名和密码
把两个密码都放到jhon跑一下,得到一个密码,那就找一下后台登陆看看
dirb http://192.168.150.131
访问后台尝试登陆发现只有john 能够登陆
在里面多点点发现contact us 里能够执行php代码
然后把这些随便填填点击提交,这个写php的地方在这个webfrom中哦
直接执行nc反弹使用kali连接
三:提权阶段
查看具有suid权限的命令,发现一个熟悉的就是exim4 前面的dc4也能用来提权
查看exim的版本
使用kali中的漏洞利用库搜索版本漏洞
最喜欢的sh文件
把这个利用脚本下载下来,同时使用python建立一个文件传输,传到shell里
要在tmp目录下下载因为其他目录没有写权限,然后赋予这个文件 777权限,
按照脚本的提示运行尝试发现只有 ./46996.sh -m netcat 可以拿到root