本文详细记录了对一个名为Bastard的Hack The Box靶机的渗透过程,主要涉及Drupal的多个漏洞利用,包括Drupal 7.x Module Services RCE、Drupalgeddon2和Drupalgeddon3。通过扫描端口、分析robots.txt,发现并利用了Drupal的版本漏洞,最终获取了靶机的webshell和管理员权限,并进行了提权操作,包括内核提权和MySQL UDF提权。
点击星标,即时接收最新推文
#01
实验信息
靶机:10.10.10.9
Kali:10.10.16.2
#02
实验过程
靶机打开的端口很少,接下来扫描端口的详细信息
根据信息可以得出靶机是IIS搭建的,网站有robots.txt里面有很多可用信息
接下来 再对靶机进行 常用漏洞脚本扫描 以及 常见UDP端口扫描,没有什么出现其他的可用信息
那么这里的突破口就主要就是80端口
通过刚刚nmap的扫描结果得出靶机用的是IIS7.5
通过IIS7.5的wiki可以大致得出靶机的系统为win7或为Windows Server 2008 R2,也进一步验证了nmap的扫描结果
查询尝试drupal的是否存在默认账号密码,发现失败
刚刚在nmap的结果中发现robots.txt内容,接下来就根据robots.txt里面的内容进行展开
http://10.10.10.9/CHANGELOG.txt
http://10.10.10.9/xmlrpc.php
通过CHANGELOG.txt可得出当前的drupal版本是7.54
通过searchspolit来查找是否有现成的可利用EXP
根据刚刚得知drupal的版本是7.54来挑选合适的EXP进行使用
首先尝试“Drupal 7.x Module Services - Remote Code Execution”
编辑41564.php,这里修改了url,file变量,但是endpoint_path和endpoint还需要查询下如何修改
通过访问EXP作者里面的博客(https://www.ambionics.io/blog/drupal-services-module-rce),可知restful API接口
那么接下来就需要来查找drupal的API接口地址
因为不同的扫描器的扫描机制、算法是不同的,这里尝试使用多个扫描器来查找API接口地址
再安装个feroxbuster,这个工具扫描速度更快
字典采用专门用来发现API的字典 https://gitee.com/AnranRemo/SecLists.git
最低0.47元/天 解锁文章
扫一扫
2570
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
