DC-1靶机
whatweb(指纹识别)扫描出网站模板信息
nmap
插件wappalyzer都可以查出CMS系统drupal
通过msf查找drupal漏洞
使用其中一个漏洞和查看这些配置
这里设置攻击目标ip,启动无法成功是因为LHOST用的不是kali主机ip,需要设置一下
运行,获取meterpreter
获取到Meterpreter会话是渗透测试中的一项重要目标。Meterpreter是Metasploit框架中的一个功能强大的后渗透载荷,它提供了远程访问目标系统的权限和控制。
通过获取Meterpreter会话,您可以实现以下操作:
1. 持久性访问:Meterpreter会话允许您在目标系统上建立持久性访问,以便在以后的时间内维持对系统的控制,而无需重新利用漏洞或重新获取访问权限。
1. 远程执行命令:通过Meterpreter会话,您可以在目标系统上执行各种命令,包括浏览文件系统、执行系统命令、上传/下载文件等。这使您能够进一步探索目标系统并执行必要的活动。
1. 收集信息:Meterpreter提供了功能丰富的信息收集工具,例如获取系统信息、查看运行进程、查找敏感文件等。这些信息可以帮助您深入了解目标系统的配置和漏洞。
1. 渗透测试扩展:Meterpreter还可以作为一个平台,用于加载和执行其他模块,从而扩展渗透测试的功能。您可以利用已有的Meterpreter功能或自定义开发新的模块来满足特定需求。
查看flag1.txt
大概提示是一个优秀的cms一定会有配置文件,下面有请百度战士,搜一下drupal的项目结构
从meterpreter到www-data实现shell交互
shell
交互shell
python -c 'import pty;pty.spawn("/bin/bash")'
find . -name "set*"
果真有配置文件
根据settings.php顺藤摸瓜找到flag2,并且还发现了mysql密码,进入到settings.php根目录下
查看发现有mysql账号密码
登录mysql
show databases;【查数据库】
use drupaldb;【用这个数据库】
show tables;【查表】
发现有个users
发现密码加密(上面百度搜的时候说了scripts目录下有数据库相关脚本),发现了敏感词汇,password打开之后可以发现就是我们要找的password加密文件
重新加密一个密码替换进去,原加密密文一定记得保存,后续还要替换回去
在/vat/www下使用加密脚本用法./scripts/password-hash.sh [需要加密的明文]使用方法还可以看这个脚本的源代码,里面有写
进入数据库后执行UPDATE users SET pass="$S$Dv1IQzDZwEol9ORsIWxj1td1f.4yv/EDQBZ/HFqF46S84tS13gSU" where uid=1;
可以发现已经被替换
执行这个.sh可以生成drupal对应的加密字符
原来加密的hash
$S$DvQI6Y600iNeXRIeEMF94Y6FvN8nujJcEDTCP9nS5.i38jnEKuDR
进入网页登录页面,admin,123456登录系统,一通乱点,找到flag3,后期根据flag3的提示找flag4,也可以find / -name "*flag*"找到其他flag
find / -name "*flag*"查找包含flag的文件,找到了flag4
这里的thefinalflag.txt是在/root目录下的,必须提权才能看到
提示我们进行提权
find / -perm -u=s -type f 2>/dev/null
find . -exec /bin/sh \;提权成功找到最后的flag