记录一下 DC1靶机渗透

一.准备

首先kaili攻击机和DC1靶机都是桥接网络,为了nmap扫描(桥接网络在设置里)。
记录一下 DC1靶机渗透

二.namp扫描

1.首先扫描一下这个网段
记录一下 DC1靶机渗透很容易可以看见DC1的靶机的ip地址192.168.1.108(这个当时扫了半天都没有扫到,我在nat网络和桥接里反复横跳,最终还是它自己好了(充分证明了当你做不出来,可以歇一歇然后自己就好了。猜测是网络切换需要一定的时间)

2.扫描这个ip地址开放的端口

记录一下 DC1靶机渗透
可以看出来这里开放了80端口,我们可以看一下!
记录一下 DC1靶机渗透
然后就是上图这个样子!

三.开始渗透

典型的drupal(我也不太懂)
1. 打开msfconsole(同样不太懂,应该是个工具)

msfconsole

2. 搜索这个模块

search drupal

3. 然后使用这个18年的

记录一下 DC1靶机渗透
4. 然后跟着图中的做能得到图中结果

记录一下 DC1靶机渗透
5. 用python的一个脚本反弹

python -c 'import pty; pty.spawn("/bin/bash")'

网上的反弹shell好像很多都错了!(上面的可以用)

反弹shell成功后如下

记录一下 DC1靶机渗透
然后我们进入home,就可以看到如下

记录一下 DC1靶机渗透可以查看Drupal的默认配置文件为 /var/www/sites/default/settings.php

记录一下 DC1靶机渗透
这里发现数据库的账号和密码

回显不正常的时候就反弹一个

python -c "import pty;pty.spawn('/bin/sh')"

然后就可进入mysql了
记录一下 DC1靶机渗透
首先show databases;

记录一下 DC1靶机渗透然后use drupaldb;并查询数据,发现admin的uid为1
记录一下 DC1靶机渗透
我们来更新管理员密码在scripts目录下的得到一个哈希值(拷贝下来)
记录一下 DC1靶机渗透然后我们就可以更新数据库,更新成功!
记录一下 DC1靶机渗透然后就可以登录网站了,(ip地址的80端口)点击上方的content然后点击下方的flag3

记录一下 DC1靶机渗透
这里flag3提示exec提权!

使用命令查看suid权限可执行程序

find / -perm -4000 2>/dev/null

我们发现了find命令
记录一下 DC1靶机渗透
测试发现find为root权限
记录一下 DC1靶机渗透然后可以发现flag在root目录下
记录一下 DC1靶机渗透
然后我们可以查看/etc/passwd 发现flag4用户
记录一下 DC1靶机渗透
最后一步暴力破解属实有点自欺欺人hah!
记录一下 DC1靶机渗透

上一篇:编写Linux终端仿真器


下一篇:forkpty – socket