0x01 信息搜集
首先进行信息收集,扫描一下主机的IP地址。可使用的方法如下:
arp-scan -l fping -g 192.168.1.1/24 nmap 192.168.1.1/24
靶机地址192.168.1.5,开放了22,80,111端口
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
查看一下靶机的CMS,CMS为drupal
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
0x02 漏洞挖掘
使用metasploit查找CMS的漏洞,启动msf控制台
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
查找漏洞利用模块
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
选择一个比较新的,我们选18年的
可以直接输入编号选择,这样快一点,也可以输入模块名选择
use unix/webapp/drupal_drupalgeddon2
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
查看使用此模块需要配置的参数
这里需要设置靶机的IP地址。rhosts(靶机地址),lhost(本机地址)
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
设置靶机地址
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
可以使用“run”来开始,也可以使用“exploit”
这里显示已经创建了一个会话,就表明利用成功了
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
输入“shell”就可以进行交互了
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
利用Python生成一个交互式shell
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
在当前目录下发现了第一个flag
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
提示我们“每一个好的CMS都需要配置文件,你也是”
于是我们在/var/www/sites/default/setings.php里发现了flag2
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
同时里面还有MySQL的账号密码
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
成功登陆
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
在数据库里发现了后台管理员账号和密码
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
由于未知加密方式,所以我们百度寻找解决方法
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
于是我们修改数据库里的数据,成功修改
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
PS:加G可以更清楚的显示数据库内容
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
成功登陆
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
成功找到flag3
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
我们读取/etc/passwd,发现flag4,但是我们无法登陆
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
尝试暴力破解,因为开了22端口
成功破解,密码为“orange”
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
使用flag4用户登陆靶机
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
拿下第四个flag
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
0x03 操作系统提权
利用有suid权限的find命令进行提权,查找有suid权限的命令
find / -perm -4000 2>/dev/null
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
我们选用/usr/bin/find利用
创建一个名为“w3lkin”的文件夹
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
find w3lkin -exec "whoami" ;
发现是root权限
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
进入管理员shell
find w3lkin -exec "/bin/sh" ;
查看root目录下的flag文件
![【渗透测试】DC-1通关手册]( "【渗透测试】DC-1通关手册")
第五个flag找到,完工!!!
评论