靶机1
1.本地靶机用nmap扫描和kali同网段,发现主机192.168.12.147开放了20、80端口
2.看到有登录框,尝试bp爆破
3.打开网站,插件收集指纹为Drupal,在这里也可以猜的到,也可以f12查看看看有没有开发人员留下的痕迹
找到框架就可以去网上找该框架的漏洞
可以用searchsploit + 框架名(得一个一个尝试)
也可以metasploit的msfconsole
在这用模块1,设置rhosts
执行攻击成功,已经返回了一段会话
4.对目标主机使用命令(shell)
如果需要交互式操作,要先看有没有python 使用命令python -c 'import pty; pty.spawn("/bin/bash")'
直接使用命令find -name flag查找发现flag1文件
查看一下文件里有什么东西
提示我们要找到指纹管理系统的配置文件
ls -la看一下,发现一个站点文件夹
cd进去发现有个样板的配置信息和默认文件夹
进入default文件夹找到setttings.php
c查看文件找到第二条flag和数据库的账号密码
5.登录数据库
查库show databases;
第一个mysql自带,直接看第二个,查表use drupaldb;
show tables;找到用户表
查看表里有哪些关键信息select * from users;
看表结构:desc users;
看到了name,pass(密码)字段直接查看
select name,pass from users;
发现密码被加密了(加密方式未知,可能有多种加密方式融合在一起。开源的可以百度到)。如果没有办法解密,就可以自己生成密码把原来的DvQI6Y600iNeXRIeEMF94Y6FvN8nujJcEDTCP9nS5.i38jnEKuDR 替换。框架里有个脚本,放在script里面(这种是框架的特点)
找到为password-hash.sh。利用该脚本生成ky的哈希值DrazEA6Lf3vKwZETajlde8vp1ZOSrINIFixvqfQLJ.zycuATcbmq
update替换: update users set pass="DrazEA6Lf3vKwZETajlde8vp1ZOSrINIFixvqfQLJ.zycuATcbmq" where name="admin";use
尝试登录,成功
6.登陆后在网页找找看有什么有用的东西,发现一个flag3文件,提示我们要用find命令进行提权
回到kali用cat /etc/passwd查看,发现一个flag4用户
切换到flag4的家目录看看有什么东西,发现一个flag4.txt文件
看看内容,提示root用户下也有flag
切换root家目录,没有权限
在这我们尝试使用suid提权,使用命令find / -perm -4000找能使用suid权限的命令,发现find就是
7.进入/usr/bin目录创建一个kuangyang文件,再用命令find ~/ kuangyang -exec '/bin/sh' ;提权
这时候再进root,查看flag
