如果额头终将刻上皱纹，你只能做到，不让皱纹刻在你的心上

0x01 信息收集:

1.1 端口探测

使用nmap工具

端口扫描结果如下：

由nmap扫描可以知道，目标开放了22,80,111,46204端口，看到端口号22想到ssh远程连接，端口号80想到web网页攻击。后面两个端口暂时想不到有什么用，所以先放在一边，后面可能会用到

1.2威胁建模

使用浏览器访问地址，使用插件Wappalyzer进行网站指纹识别

从上图中可得知：

内容管理系统为：Drupal 7
编程语言为:  PHP 5.4.45
Web服务器：Apache 2.2.22
操作系统为：Debian
JavaScript库：jQuery 1.4.4

0x02 漏洞挖掘:

2.1 敏感目录扫描

目录扫描结果如下：

目录很多，先去访问一下robots.txt：

结果如下：

访问一下UPGRADE.txt：

看一下网站的版本：

知道了Drupal的版本后，通过搜索引擎进行查看版本漏洞。

2.2 drupal 7.x漏洞

启动msf

查找dropal类CMS相关漏洞

如下：

择其中最新的漏洞进行攻击尝试

如下

查看配置信息：

如下：

查看需要设置的参数：

设置参数开启攻击

获取shell如下所示

由于得到的不是一个完整的shell环境，所以我们所以pyhton中的pty模块反弹一个完整的shell环境,即直接输入

如下：

2.3 在目录中找配置文件

直接从命令执行得到的目录里面找配置文件

输入命令：

找到数据库的配置信息如下：

数据库为mysql数据库，本地登录账号。

爆破和目录扫描并不是唯一获得后台的方法(并且你需要访问权限)，下面这些认证信息你怎么使用)。

给出的是数据库的相关信息。

2.4 改密码进网站

直接本地登陆数据库命令：

进入数据库

切换到drupaldb数据库

如下：

查询users表：

rupal存储用户密码：把密码和用户名或其它随机字符串组合在一起后使用 MD5 方式加密

这里要破解密文，可以使用暴力破解或者是在数据库中更新密码

我使用更新密码；

进入数据库更新密码

确认是否修改完成

修改完成回到网页使用账号密码登陆

登陆成功

点击Dashboard

2.5 ssh爆破

在Dashboard中发现passwd,shadow所以查看根目录/etc下的这两个文件；

/etc/shadow无法查看，权限不够，查看etc/passwd，发现目标有/bin/bash，看到这想到了还有端口22，所以ssh连接。但是密码不知道所以只能爆破

直接ssh连接

登录用户成功

2.6 提权

suid提权，通过命令

查看是否具有root权限的命令

发现find具有root权限

直接执行命令

进行提权

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。

转载声明：各家兴 拥有对此文章的修改和解释权，如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。

CSDN:
https://blog.csdn.net/weixin_48899364?type=blog

公众号：
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区：
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf：
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

原文始发于微信公众号（各家兴）：红队攻防实战之DC1