目录
一、信息收集
扫描主机ip
扫描开放端口情况
开放了20、80端口,再爆破目录跑下有什么
跑出来的能访问的目录太少了,这些txt文件都没用,只是一些说明
二、信息利用
去访问一下这个80端口
这个网站的CMS是Drupal 8,searchsploit一下
没找到能利用的文件脚本,根据提示‘’跳出框框‘’就去搜索一下此网页,github可以搜索到可利用的信息。
下载文件,观察一下
尝试去页面登录
登录不上,那在试试是不是ssh用户
登录成功,利用一下
权限太小,而且没有sudo可使用的命令,没办法suid提权,就去看看文件内容吧
进入backups文件夹,发现两个文件,但都是以gpg结尾的,gpg命令是用来加密文件的,加密后的文件都是乱码,
查看下mbox文件:
查看下shell脚本代码:
根据这两个文件得出,会以root权限执行shell备份脚本
想着写入反弹shell进去,备份时候让root去执行,但是当前用户没有写的权限
三、漏洞攻击
上面有drush命令,drush是一个简化了创建和管理Drupal8网站的命令行工具,可以修改账户密码。需要在网站目录(var/www/html)下执行。
drush user-password 用户 --password "密码"
更改成功,可以去网站登录admin用户了
这是一个网站管理平台,可以编辑内容,写入一句话木马,发现不能执行php
但是可以安装php扩展程序
直接访问url不成功,就把包下载下来自己上传
install成功后,写入一句话木马
使用蚁剑链接
这不又拿下了一个用户吗,这个用户对backup.sh脚本又写的权限
四、提权:
编写文件,写入反弹shell,kali监听
写入成功
备份需要时间间隔,等会就链接成功,获得root用户
完成。
总结:
1,常规的扫描ip、端口、目录
2、目录没利用点
3、借助外界源码,链接用户
4、用户没权限、有可利用的文件
5、修改admin账户,拿webshell
6、反弹shell,提权