ダウンロードリンク:https://www.vulnhub.com/entry/dc-1-1,292/
ホスト検出nmap-sn 192.168.44.0/24
(DCターゲットマシンはNATモードを使用し、私のNATモードは192.168.44.0ネットワークセグメントであるため、ターゲットマシンである必要がある192.168.44.0ネットワークセグメントに新しく追加された存続ホストをスキャンするだけで済みます)
ターゲットマシンのIPアドレスを見つけたら、ポートスキャンを開始し、ポート22 80111が開いていることを確認します。
ポート80にアクセスしたところ、3つの主要なPHP CMS(drupal joomal wordpress)の1つであるDrupal cmsであることがわかりましたが、具体的なバージョンはわかりません。
以前にnmapでポートをスキャンしたときは、-Aパラメーターが使用されていたため、robots.txtファイルがWebサイトで見つかり、nmapでスキャンされたrobots.txtファイルにアクセスしました。
UPGRADE.txtで、drupalバージョンが7.xであることがわかりました
カリのsearchsploitを使用して、drupal7の脆弱性を検索します
/usr/share/exploitdb/exploits/php/webapps/34992.pyこのSQLインジェクションの脆弱性を使用して、管理ユーザーを追加します
使用法を見る
/usr/share/exploitdb/exploits/php/webapps/34992.pyを使用します
/usr/share/exploitdb/exploits/php/webapps/34992.py -t website url-u管理者権限が追加されたユーザー名-pユーザーパスワード
上記から、Administratorユーザーが正常に作成されていることがわかります。
背景にログインし、背景をクリックして、flag3を見つけます。
バックグラウンドでアップロードするファイルを見つけましたが、肝臓が長時間下がっていませんでした。
アイデアを変更し、msfを使用して利用可能なexpがあるかどうかを確認します
時間:
msfconsole start msf
検索drupal検索exp
使用exprotise / unix / webapp / drupal_drupalgeddon2使用exp
expを構成して実行します
シェルを取得し、flag1を見つけます
catflag1.txt読み取りflag1
ヒントを入手する:すべての優れたCMSには構成ファイルが必要であり、これも
構成ファイルの場所を検索します
cat settings.phpが構成ファイルを読み取り、flag2とデータベースのユーザーとパスワードを見つけました
Flag2のヒント:これらの認証を使用する場合、アクセス権を取得する方法は、ブルートフォースクラッキングと辞書攻撃だけではありません(アクセス権を取得する必要があります)。
'データベース' => 'drupaldb'、
'ユーザー名' => 'dbuser'、
'パスワード' => 'R0ck3t'、
データベースのユーザーとパスワードによると、MySQLデータベースにログインしようとしましたが、msfシェルがデータベースにログインするコマンドを実行できないことがわかりました。
シェルを取得
取得したシェルを使用してデータベースにログインしますが、エコーなしではデータベースにログインできません
取得したシェルを改善し、ターゲットマシンにpython環境があることを確認するためにのみ、pythonを使用して彼のシェルを作成できます。
python -c'import pty; pty.spawn( "/ bin / sh") '
参照:前の記事:https://blog.csdn.net/qq_32393893/article/details/105487795 シェルを
完了してシェルを完了し、応答が表示されたら、MySQLデータベースに正常にログインします
前の記事の冒頭で作成した管理者の恥ずかしがり屋のアカウントがusersテーブルで見つかり、フラグ3が取得されました。
データベースをめくって、他に何も見つかりませんでした
ユーザーflag4が/ etc / passwdファイルで見つかりました
hydraを使用してflag4のパスワードをブラストし、ポート22を開くことを学習します。ここで使用する辞書はjohnの辞書であり、パスは/usr/share/john/password.listです。
正常にログインし、flag4.txtファイルを見つけて、flag4を取得します
プロンプトによると、フラグはルートの下にあり、suid特権をエスカレートして、システムで実行されているsuid実行可能ファイルを見つけてください。
検索実行が見つかりました、特権を見つけてみてください
恥ずかしがり屋に触れる
恥ずかしがり屋の-execwhoamiを見つける\;
恥ずかしがり屋を見つける-exec / bin / sh \;
cd / root
cat thefinalflag.txt