DC-1 靶场信息收集

拿到靶机后先进行端口扫描

上面结果我们可以发现靶机开放了22、80、111端口

既然开了80端口,我们就用浏览器访问一下

查看网页源代码,发现 Drupal 的版本为 7

然后进行后台扫描

发现 robots.txt

过程

但貌似并没有找到什么可利用的东西vim

那就到找一下有没有现成的 drupal 利用模块

用一个最新的 excellent 的

配置好靶场ip即可

开始攻击,成功进入

查看一下当前目录有什么

发现一个 flag1.txt,看一下内容

提示我们找一下 config 配置文件

进 shell 查看一下当前用户

经网上查找,发现 drupal 的配置文件为 settings.php

find 一下就找到了

查看一下文件

发现 flag2,大概意思就是暴力破解和字典攻击不行吧

但往下翻可以直接看到数据库的用户和密码

我们可以尝试登录一下

当我们拿到一个 webshell 的时候,我们能够执行一些命令,但是这些命令都是非交互的,难以使用部分命令。
这时,我们就需要获取一个可交互的 webshell 了

如果对方机器上有 python 的话,我们可以用
  python -c ‘import pty; pty.spawn(“/bin/bash”)’

拿到可交互的shell后,用户名 dbuser 密码 R0ck3t 登录 mysql

查看所有数据库

进入数据库 drupaldb

查看所有表

发现可疑表 users,里面可能有网站的用户名密码

查看 users 表内容,不出所料

用户名 admin 密码md5加密过 ,用 cmd5 解密后为 53cr3t

合理怀疑这是 drupal 的登录账号密码

不出所料登进去了

然后在页面点点点,发现新东西

找到 flag3

里面提到了 passwd 和 shadow

那就去看看这两个文件好了

shadow 文件没权限查看,passwd 文件最后一行有个 flag4 用户

既然如此,那就进 flag4 的家目录看一眼

发现一个 flag4.txt

查看一下

大概意思就是让我们用同样的方式在 root 目录下找到下一个 flag

提权

既然是在 root 目录下,那么就要先提权

先尝试用 suid 进行提权

Linux 中常见的 root 文件

  • nmap
  • vim
  • find
  • bash
  • more
  • less
  • nano
  • cp

经过一番尝试,选择用 find 进行提权,find 的 -exec 参数可以以 root 身份执行命令

用 find 提权就需要一个文件

但是已经尝试过没有权限用 touch 命令

不过在 flag4 目录下刚好有个 flag4.txt 文件

那就直接提

  find flag4.txt -exec “/bin/sh” \;

进 root 目录找到最后 flag