靶机记录--3
走了很多弯路,一通乱找。。。
目录
主机发现
端口扫描
端口服务版本,服务器操作系统,中间件扫描
web端渗透
有一个登录框,测试一番
弱口令,万能密码都不得行
然后看见下面有创建新用户,还有个请求一个新密码,就是忘记密码,
随便输入了个admin用户名
提示了要在邮件里进一步操作,
然后再随便输了个,提示不存在,,说明admin是存在于数据库中的
尝试爆破一下
抓个包
奈何没有好字典
那来尝试创建一个新用户,看看有没有逻辑漏洞之类的
靶机没有邮件接口,注册不了。。。。
目录扫描
只看能加载的,,大部分都没有权限访问,应该要登陆上去才能看
1.一个小作文,没啥
2.看不懂。。。
3.它说什么只接受post请求
然后也不知道有啥用
4./misc/ 里有很多代码
还有几个图像
5. robots.txt里,看到了一个类似文件包含的特征
结果啥也没看到
看看有没有可以利用的cms漏洞
使用msf getshell
使用msf,搜索一下
试了几个都不行,最后倒数第三个这个可以利用到
use它
看了一下配置,只要set一个目标ip
开始攻击
拿到了一个meterpreter终端,但是干不了啥
shell + python 开个新终端
提权(歧路)
看看内核版本系统版本
searchsploit 搜索一下版本漏洞
一个本地提权
复制到网站根目录并开启apache
来到获得的shell这远程下载
有点问题
换了几个都没能成功,换个方向。。。
在拿到的用户shell里信息收集
flag1
查看一下目录里有啥,发现了一个flag1.txt
cat看一下
提示让我去康康配置文件
找了一会没找到
搜了一下,去看看flag1.txt说的配置文件
flag2
找到了数据库的账户与密码
还有flag2说别用暴力破解
是mysql数据库,我们尝试登陆
成功登陆
可以操作
找找有没有用户名密码
use drupaldb;
show tables;
select * from users;
找到了admin
但这个密码是真破解不了
只能想办法重置update
在这里,我们找到了它自带的hash加密代码
那里面执行不了,退到www/目录
然后再进入数据库,更改密码
update users set pass='$S$DeEvOS7DctGUmbE5b6c4wiKRHZPrGDBtrz5jngKiAxKdoiusHqI2' where uid=1;
这时候,去web端登陆
刚才登陆过多,不让我登,就离谱,但是应该能登上去(前面没看见flag2,使用了暴力破解)
。。第二天还不行,重装了下,总算进来了
flag3
找点有用的,这里flag3 有提示
也看不懂,但是好像提示了find passwd -exec shadow
flag4
看看passwd,有个flag4
看他的家目录
flag4让去root,要提权了
提权(正经)
根据flag3的提示
使用find提权
先切换到/ tmp目录,其他地方可能创建不了文件
find / -perm -u=s -type f 2>/dev/null | grep -v /proc/
查找具有suid权限位的命令,发现find有权限
然后随便创建一个文件 touch
在看看行不行
find xxx.sh -exec "whoami" \;
find xxx.sh -exec "/bin/sh" \;
提权成功
thefinalflag
在root目录,得到了最终的flag!!!
总结
- 在搜索cms版本漏洞时,要多试几个,哪怕最后都没有全部试完也行,运气也很重要
- 拿到shell后,可以不用先找版本漏洞提权,先看看本地文件里有权限看的,继续信息收集,找到一切有用的信息,信息收集决定成败
- find提权
- 先找可以有suid权限的命令 find / -perm -u=s -type f 2>/dev/null
- 若find有usid权限,则可用来提权
- 先用 -exec 来执行基本命令 find 任意存在的文件 -exec "whoami" \;
- 若是root权限,就可以利用它提权 find xxx -exec "/bin/sh" \;
- 在不清楚情况下,还是先不要用工具直接乱爆破,容易被封账号封ip