靶场搭建
下载靶机:dc-1
下载后解压得到一个ova文件,直接vmware打开(这里我workstation pro17导入会报错,“未通过ovf规范一致性或虚拟硬件合规性检查”没留下截图,查了好多,最后点了重试,结果就就好了- -)
启动靶机,要用户名密码,当然俺们是不知道的
这里把靶机和攻击机用同一种模式连接(都是NAT或者都是桥接),保证俩在同一网段,攻击机能访问到就行。(这里我都是NAT)
我的虚拟网卡是67段的,这里找到靶机的地址是67.129
探测下端口,开启了22,80
先访问一下80,是个drupal
用dirsearch扫了下目录,看了看感觉没啥用
上msf,搜索drupal相关漏洞
search drupal
用序号1这一条
use 1
required这一栏,yes是必须要的参数,no可以设置也可以不设置
设置一下靶机地址
设置完事儿执行一下
最后这一行可以看到,攻击机67.128已经和靶机129建立起连接了
执行shell,ls一下,可以看到flag1.txt
提示我们去看配置文件
有问题,问百度,so,目标有了,去找/sites/default/settings.php
cd sites 可以看到default目录
cd default 看到目标人物settings.php
cat settings.php可以看到flag2以及数据库信息
反弹shell获得一个稳定的交互shell
python -c "import pty;pty.spawn('/bin/bash')"
连接数据库trytry
查数据库名
进入drupaldb数据库
show tables;查表,看到一个user表
查表内容
select * from users;
得到用户名和加密过的密码
drupal中加密脚本在/var/www/script目录下的/password-hash.sh
用加密脚本写一个密码,然后去替换数据库中的密码值
password: 123456 hash: $S$DNi3rZe1FTcrFGWf7hi1XDhGjut5he6qHCCNidUj4lNk9VYDozbp
php scripts/password-hash.sh 123456
进入mysql数据库,替换admin对应的密码
update drupal.users set pass='$S$DNi3rZe1FTcrFGWf7hi1XDhGjut5he6qHCCNidUj4lNk9VYDozbp' where name='admin';
使用admin/123456登录得到flag3,
Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.
看一下/etc/password;/etc/shadow
看到了flag4
来到flag4目录下读取flag4.txt文件内容
提示提权到root去找flag
整理一些思路,目前知道了一个flag4的账户,密码未知,还提示让提权root
咋知道密码呢:
1:直接提权读/etc/shadow
2:暴破
————————————————————————————————
1 提权
查找root属主,具有suid权限的文件
find命令提权
find /usr/bin/find -exec "/bin/sh" \;
在root目录读到了thefinalflag.txt
/etc/shadow 读到了flag4的密码
$6$Nk47pS8q$vTXHYXBFqOoZERNGFThbnZfi5LN0ucGZe05VMtMuIFyqYzY/eVbPNMZ7lpfRVc0BYrQ0brAhJoEzoEWCKxVW80
拿john工具破解shadow密码 flag4的密码是orange
还记得最开始扫端口除了80端口,还有个22吗
用flag4/orange登录瞅瞅
成功登录