被CTF比赛冲昏了头脑的我,突然发现自己的渗透测试能力直线下降,可能和脑洞大开、不切实际的CTF题目有关吧,让我一度茫然的开启刷题模式,现在我觉醒了,黑客技术不是CTF,从现在开始,我会搭建一些仿真环境,让自己和小伙伴复习复习,熟悉渗透测试流程,掌握渗透测试中常用的手段和工具。
好了废话不多说了。。。。咱们开始吧。这个靶机共有4个flag。。
靶机环境:
操作系统:Debian
CMS:Drupal 7
靶机IP地址:192.168.43.104
1、信息收集
使用nmap 或者 masscan 对靶机开放的端口信息进行扫描,这里我使用nmap,masscan扫描速度快,但是有点不准,nmap有点慢吧,但是效果比较好。。。
可以看到,目标开放了4个端口,分别是 22、80、111、35476,同时可以看到,目标的80上跑的是Apache,框架是Drupal 7,我们访问一下80端口看看
业务系统是 Drupal,我们上网搜一下Drupal有没有什么公开的漏洞,发现了好多,那我们直接可以用msf搜一下看看有什么可以直接利用的EXP,发现有好几个可以直接利用的攻击模块,为了省事,我们尝试一下,看看能不能成功利用。。。
2、漏洞利用
这里我使用第一个2014年的漏洞利用模块,我也不知道这个能不能用,咱们先试试。。。
应用该模块后,看看需要设置什么东西,可以看到,这里我们直接设置靶机ip地址就可以了
然后使用 run 命令或者 exploit 命令开始攻击。。。
从上面的图中可以看到,已经成功的入侵,并获得了一个会话,那我们看看用户权限
发现是个www-data用户,看一下根目录,发现flag1...,同时附带一个提示信息。。。
根据提示,找到该网站的连接数据库配置文件在 sites/default/中的一个叫settings.php,获取到数据库用户和密码,同时发现flag2和下一个提示信息。。。
根据提示信息,我们要登录Drupal系统中才能获取到flag3,所以,我们需要查看数据库中的账号密码,但是通过shell直接连接数据库无法得到回显信息,不能正常使用,翻看/etc/passwd文件发现存在一个flag4的账户,于是对它进行一个ssh爆破,看看能不能爆破出来,如果可以,就可以用ssh连接数据库了。。。
利用hydra对flag4这个用户进行ssh爆破。。。成功爆出其密码。。。
然后我们利用ssh登录到flag4中,然后连接数据库,看看数据库中的信息
发现users表,进去看看,发现密码pass字段进行了加密,,,于是,在百度和翻来翻去中了解到Drupal的密码加密有个脚本,就是 这个 /var/www/scripts/password-hash.sh
然后我们利用这个脚本,生成一个密码,然后再用我们生成的密码替换掉数据库中的admin密码。。。这里我的密码是 hahaha 然后把加密后的密码保存在 321.txt 中。。。
执行后发现flag4权限不够,那我们继续使用msf做这一步操作。。。
发现成功执行,查看321.txt,复制密码,在MySQL中替换掉admin的密码。。。
然后我们用admin登录前台系统,发现flag3。。。
然后,在flag4的家目录下发现一个提示,说flag4在root用户的家目录下,那也就是说我们要进行提取,获取到root用户才能拿到最终的flag4,并且结合flag3中的提示信息,要利用拥有suid权限位的命令进行提权,这里对suid相关的资料可以参考这个链接:
https://www.cnblogs.com/jacob-tian/articles/6475887.html
这里利用 find / -perm -u=s -type f 2>/dev/null 这个命令查看拥有suid权限的命令,可以执行命令拥有者的权限,具体的可以参考这个链接:https://blog.csdn.net/qq_36119192/article/details/84872644
这里我们用find命令提权,因为find 命令可以在查找之后执行命令,至于为什么,find -h 一下就知道了。。。
查看权限。。。果然是root。。。
然后我们把/bin/sh给反弹过来,就成功的拿到了root权限。。。
OK,查看flag4,,,结束战斗。。。
当然,还有其他的方法能够提权拿到flag4,其他的方法后续如果会在其他靶场中介绍。。。。
评论