DC1靶机从web到root权限最后得到finalflag
0x02 信息搜集- 局域网探测
- nmap扫描
- 查看80端口
- 查看该cms历史漏洞
- drupal 6,7,8多个版本存在远程代码执行,上msf
拿到meterpreter。
在网站根目录,这里能发现flag1.txt
drupal的数据库配置文件在sites/default/settings.php
cat settings.php
这里发现flag2
获取数据库用户名和密码。
执行如下命令
meterpreter > shell
python -c "import pty;pty.spawn('/bin/bash')"
www-data@DC-1:/var/www/sites/default$ //执行完之后可获得python提供的标准shell
登陆mysql
库内有很多表,关注user表
应该注意到的是密码的加密是用了该cms特有的hash算法。找hash文件。
scripts录有password-hash.sh文件。思路为用该文件生成自己的密码hash值替换数据库hash,达到登陆后台的目的。
这里一些依赖的问题不能生成密码hash。也就不能登陆后台。在后台登陆能够发现flag3.
看一下家目录,发现flag4
我们最终的目的是进入/root目睹读到最终flag,但现在权限不够。
该搞得也差不多了。尝试脏牛提权。查看系统版本
版本号3.2.0好像提不了。也尝试了一下,确实不能提权。
追后学到一招suid提权。
尝试找到具有root权限的suid
当然用roothelper.sh也可以查找,更准确全面。可以看一下最后的参考文章。
可以看到find命令以root权限运行。
反弹shell
本地主机监听目标机9999端口
进入root目录
可以看到现在euid,groups为root权限。
可以了解一下UID,SUID,EUID等的区别。
https://www.jianshu.com/p/b659f4619c88
