DC-1靶机实战
1、主机发现
优点是快,但不能跨网段
2、端口扫描
3、端口详细信息扫描
4、访问80端口
发现网站使用Drupal cms管理系统而且是drupal 7
用msf去找drupal 7的漏洞利用:
使用最新的漏洞尝试攻击
拿到shell//先看权限,权限不够就提权
使用python 切成交互式shell
发现flag1.txt,查看,提示查看cms的config文件
找到配置文件路径
百度了一下路径为上图,发现了flag2以及数据库账号密码
flag2又给出了提示,说暴力破解不是唯一的方法,还给出了数据库的账号和密码,但是登不上去,先pass
查看/etc/passwd
发现flag4用户,可以用hydra+john the Ripper爆破。
hydra是kali自带的工具,john需要下载使用:
爆破:
得到flag4用户的密码为orange
通过ssh远程连接
然后再用上面得到的mysql账号和密码去登陆
得到了用户的账号和密码,但是密码经过加密了,百度查找drupal重置密码的方法,是直接把user表里的管理员字段改为
CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4
然后就可以用password登陆了
原理就是字符串的SHA-512加密运算的结果就是
CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4
返回主页,尝试在网站上登陆,admin/password
发现了flag3文件,并给出提示,是让我们通过suid提权,SUID可以让调用者以文件拥有者的身份运行该文件
在服务器上找到一个带有 suid 权限的文件,发现“find”命令设置了SUID位
find / -perm -u=s -type f 2>/dev/null
创建一个文件,查找文件后执行命令,root权限
拿到root权限
