基础环境
- DC-1靶机,同一局域网内,IP未知
- kali虚拟机,同一局域网内,IP:192.168.1.139
01.ARP-SCAN 主机发现
arp-scan 192.168.1.0/24
- 发现目标IP:192.168.1.127
根据特征,发现VM虚拟机一台,基本可以确定为目标靶机。
02.nmap扫描服务版本以及开启端口号
nmap -sV -T4 -O -p 1-10000 192.168.1.127
发现 80 端口有HTTP服务
03.判断网站指纹信息
whatweb http://192168.1.127
没有什么发现
04.扫描网站目录
dirb http://192.168.1.127
发现admin目录,直接浏览器访问
05.访问发现需要用户名和密码
06.利用msfconsole 搜索可以利用的漏洞
07.设置参数并使用漏洞
08.使用poc.py文件,
下载链接
文件使用的时候比较简单,直接在HOST中设置目标靶机的IP,然后在’name[#markup]'处输入想要进行的远程执行命令(下面我们以id命令为例)
09.使用CVE代码,网络上提供了Drupal框架的RCE漏洞代码
下载地址 (提取码:926b )。下载完成之后有下面几个文件,7602.py是比在7600.py的基础上做了一些优化,READEME.md中有.py文件的使用参数说明等信息
10. 进行提权
首先查看一下对方目标中是否有nc和bash命令,可以看到都存在
11. 下面我们在kali中开启一个8080端口,用来接收靶机的链接
12. 然后利用7600.py文件执行远程连接kali端口并反弹一个靶机shell,命令如下
13. 输入上面的命令之后,可以看到kali与靶机成功连接,并且获取了靶机的shell
14. 输入下面的命令开启一个标准shell
python -c “import pty;pty.spawn (’/bin/bash’)”
15. 查看一下用户是否有用特殊执行的sudo命令,结果没有
16. 查找一下系统中有哪些具有s权限的文件,结果显示find命令拥有,下面我们使用find命令进行root提权
17. 在/tmp目录下建立一个aaa文件,然后进入/tmp目录中
使用find命令查找是否有aaa这个文件,如果有就执行’whoami’命令。
18. 反弹shell
19.获取root权限查看shadow文件,并将其中的信息复制出来,放到云服务器爆破。
总结经验:不要钻牛角尖,要相信 万法归宗!!!