下載地址:https://www.vulnhub.com/entry/dc-1-1,292/
主機發現 nmap -sn 192.168.44.0/24
(因爲DC靶機使用的是NAT模式,而我得NAT模式是192.168.44.0網段,因此我只需要掃描192.168.44.0網段新增的存活的主機就行了,那一定是靶機)
找到靶機的IP地址之後,開始端口掃描,發現開啓了22 80 111端口
訪問80端口,發現是Drupal cms,是三大PHP CMS之一(drupal joomal wordpress),但是不知道具體的版本
之前用nmap掃描端口的時候,使用了-A參數,因此掃描出該網站存在robots.txt文件,訪問nmap中掃描出來的robots.txt文件
在UPGRADE.txt發現drupal版本爲7.x
使用kali中的searchsploit搜索關於drupal 7 的漏洞
使用/usr/share/exploitdb/exploits/php/webapps/34992.py這個sql注入漏洞,添加admin用戶
查看用法
使用/usr/share/exploitdb/exploits/php/webapps/34992.py
/usr/share/exploitdb/exploits/php/webapps/34992.py -t 網站url -u 添加的管理員權限的用戶名 -p 用戶的密碼
從上面可以看到Administrator管理員用戶創建成功
登陸後臺,在後臺點呀點呀,發現flag3
在後臺找到了個文件上傳,肝了半天,沒有肝下來。
轉換下思路,使用msf查看有沒有可用的exp
kali:
msfconsole 啓動msf
search drupal 搜索exp
use exploit/unix/webapp/drupal_drupalgeddon2 使用該exp
配置該exp並運行
獲得shell,發現flag1
cat flag1.txt 讀取flag1
得到提示:每個好的CMS都需要一個配置文件,這個也是
搜索一下配置文件的位置
cat settings.php讀取該配置文件,發現flag2和數據庫用戶和密碼
flag2提示:暴力破解和字典攻擊不是唯一得到訪問權限的方法(你需要得到訪問權限),你如果利用這些認證。
'database' => 'drupaldb',
'username' => 'dbuser',
'password' => 'R0ck3t',
根據得到的數據庫用戶和密碼,嘗試登陸MySQL數據庫,發現msf這個shell執行不了登陸數據庫的命令
獲取shell
使用獲取到的shell登陸數據庫,但是沒有回顯還是無法登陸數據庫
只有完善一下這個獲取的shell,發現靶機上存在python環境,可以用python給他寫一個shell
python -c 'import pty;pty.spawn("/bin/sh")'
參考:之前的文章:https://blog.csdn.net/qq_32393893/article/details/105487795 完善一下這個shell
完成shell,有回顯之後,成功登陸到MySQL數據庫
在users表中發現了之前文章剛開頭新建的管理員shy賬號,從而得到了flag 3
在數據庫中翻呀翻,沒有發現其他的東西
在/etc/passwd文件中發現了用戶flag4
使用hydra爆破flag4的密碼,得知它開啓了22端口,這裏我使用的字典是john的字典,路徑是/usr/share/john/password.list
登陸成功,發現flag4.txt文件,得到flag4
根據提示,flag在root下,嘗試suid提權,發現系統上運行的suid可執行文件
發現存在find執行,嘗試find提權
touch shy
find shy -exec whoami \;
find shy -exec /bin/sh \;
cd /root
cat thefinalflag.txt