题前环境 (kali DC-1靶机)
启动kali 查看本机地址
推测DC-1主机应该在同一网段 所以使用nmap扫扫看
扫到了四 台主机 1 2 142 254
其中可以看到 主机142的80端口处于open态 尝试一下
发现了一个CMS 很明显的信息 Drupal
First 先了解一下Drupal 它是开源CMS之一 Drupal是CMS内容管理系统并且备受青睐和关注 Drupal可以作为开源软件免费使用 就是附带了cms的php开发框架 使用度颇高
THEN 利用 MSF 攻克
先搜索一下可用的 drupal漏洞
这里我们使用第四个18年的那个 exploit/unix/webapp/drupal_drupalgeddon2
提前看一下参数 (options)
看到RHOSTS为空 需要我们来配置一下
其中 配完提前检查再run
完成后就可以利用这个漏洞了
发现了flag第一个文件
打开看看 再给我们下一关的提示 (每一个好的CMS都需要一个配置文件--你也是)
下一个攻克点提示我们在配置文件中
百度上找到drupal的配置文件是 /var/www/sites/default/settings.php
进入durpal 配置文件
逐层解剖 找到flag2文件 进行读取
还有意外收获 不仅得到了flag2 还得到了数据库的user password
查看3306是否开放 (netstat -anptl) 显示只允许本地连接
写进一个python进行交互 python -c "import pty;pty.spawn('/bin/bash')"
登录数据库 前面我们已经拿到了 user password
列出数据库
使用drupaldb库 查看里面的表 存在users表
查看users表
又得到了数据库的用户名和密码 但是password采用了特殊的加密方式 无法解密 换种思路 那我们就来替换它
在scripts录有password-hash.sh文件 是可以用该文件生成自己的密码hash值替换数据库hash达到登陆后台的目的 这里换成admin
紧接着替换原来的密码 先进库
替换原始密码的语句 update drupaldb.user set pass="admin生成的密文“;
转去页面登录 得到flag3
cat /etc/passwd 发现了一个用户 flag4 白送人头
得到flag4
flag3提示 提权并提示 -exec 想到suid提权 find 命令
使用find命令查找有特殊权限suid
的命令 (find / -perm -4000 )
使用find命令提权 (find ./ aaa -exec '/bin/sh' \;)
得到第五个flag bingo