打开DC1,发现我们需要登录DC1,但是我们不知道密码,所以我们只能扫描分析一下他的IP地址,在kali中我们用nmap来扫描发现
DC1的IP地址也许是192.168.42.130,我们看看他开了什么端口:
有http,我们试着看看他这个网页的内容
发现确实有页面,可以试着猜一下这个页面存在什么漏洞,我们看到了登录界面,看看能不能进行sql注入,发现不是很可以,在看看别的漏洞,我们发现了这个
通过百度,了解到了drupal是一种CMF框架,由于这个页面使用PHP编写的,所以也许存在漏洞,我们可以了解到他的版本为7.x,我们使用searchsploit在了漏洞库中看看有没有对应版本的漏洞可以使用
我们发现了这个rb文件,eb文件是导入到msfconsole工具中的漏洞模块,我们用msfconsole查看一下是否有对应的漏洞模块
发现有,然后上网查了一下用哪个东西,说是用1这个模块,我们使用后,然后看看要配置问东西
我们直接将set rhosts然后run就行了。
我们先用python生成一个虚拟终端(百度查的)
反弹shell的原因(反弹shell通常用于被控端因防火墙受限、权限不足、端口被占用等情形。 在渗透过程中,往往因为端口限制而无法直连目标机器,此时需要通过反弹shell来获取一个交互式shell,以便继续深入。)
然后我们看看有什么文件
发现有flag1.txt这个文件,查看一下flag1文件中有什么内容
意思为“每个优秀的CMS都需要一个配置文件—您也需要。”
整理一下,这里的CMS说的是drupal,也就是我们要进入他的配置文件,网上找了一下他的配置文件的目录“sites/default/settings.php”
然后我们看看seeting.php中写的而是什么内容:
我们发现了flag2,而且我们也可以知道数据库和密码
而且flag2的大致意思是我们要提权到root才能查看一些文件。
我们看看users这个表的内容,
发现了admin用户和他的密码,但是密码是以hash值的方式写的,我看看能否尝试修改一下admin的密码,然后登录进入drupal,百度查了一下,我们要先进入到
/var/www/scripts目录下,然后查看一下有什么文件
然后我们敲下面的这个命令:php scripts/password-hash.sh password
我们将hash值复制一下,然后在进入到数据库中,将admin对应的密码的hash值更改为现在这个
然后我们登录进入到drupal
登录后我们就会发现flag3了
百度了一下:从flag3中提示发现了password和shadow,所以查看一下更目录中的/etc/的这两个文件
可以发现/etc/shadow无法查看,因为权限不够,在passwd中,发现靶机用户有/bin/bash而且ssh端口也大开着在,我们用kali自导的密码字典进行爆破,百度了一下路径为/usr/share/john/password.lst ,我们用九头蛇进行爆破
爆出了密码的结果是orange,我们连接靶机,并且提权。
百度了一下linxu的提权方法,一般有4种,sudo提权,suid提权,系统内核提权,数据库提权
发现find具有root的权限,命令为find –exec /bin/bash \;进行提权。
发现了flag4,flag4提示我们要去到根目录,我们就直接cd进去,然后发现根目录还有一个flag,查看了一下翻译后的结果,发现完成了。因该是渗透完了。
其中的百度查到的知识有drupal漏洞,find提权,flag3的内容的提示有什么,和如何更改admin的hash值,通过ssh我们可以知道什么漏洞,怎么利用这里漏洞,和其他大佬的DC1渗透思路是什么。