arp-scan -l 扫描存活主机
nmap -p- -A 10.1.1.136 进一步探测信息
#-A 入侵式扫描
#-p- 扫描全部端口
去访问80端口,发现如下页面
这是个Drupal Site的CMS,上网搜集到MSF有现成的攻击框架
进入msf
use exploit/unix/webapp/drupal_drupalgedden2 选择模块
设置目标地址 然后攻击
设置好目标后,代码执行后获得meterpreter接口shell,但是执行shell失败,没有回显
是发现python可以正常运行,考虑Python切换shell,这里注意单双引号的闭合
python -c ‘import pty;pty.spawn(“/bin/bash”)’
发现flag1.txt,cat 查看后获取到如下提示信息
百度发现drupal CMS网站的配置在sites下进入后在default文件夹下发现两个settings有关的文件
查看其中一个发现flag2,与数据库的账户名与密码。并且flag2 提示暴力破解不是唯一的方法
登录上数据库,在数据库下找到了和users有关的信息,发现不是MD5加密,想起来之前在文件夹目录下发现的一个计算Hash的文件
执行后报错,发现文件包含出现了错误,经过搜索发现kali有现成的模块可以添加Drupal账户,使用方法如下
此时登录网站,输入用户名admin,密码123 在仪表盘里发现flag3
点击左上角的
最后的得到flag3
根据flag3中提示,去查看存放用户信息的文件和存放密码信息的文件, /etc/shadow无法查看,权限不够,查看etc/passwd,发现目标靶机用户flag4,并且有/bin/bash,看到这想到了还有端口22,所以ssh连接
不知道密码 使用hydra爆破,使用kali自带的密码字典,路径为/usr/share/john/password.lst,kali自带各种密码默认保存在/usr/share/下
hydra -l flag4 -P /usr/share/john/password.lst 10.1.1.136 ssh -vV -f
密码出来了
登录成功
提权
得到flag4
ls /root 查看一下root目录 看到最后一个flag