如果额头终将刻上皱纹,你只能做到,不让皱纹刻在你的心上
0x01 信息收集:
1.1 端口探测
使用nmap工具
端口扫描结果如下:
由nmap扫描可以知道,目标开放了22,80,111,46204端口,看到端口号22想到ssh远程连接,端口号80想到web网页攻击。后面两个端口暂时想不到有什么用,所以先放在一边,后面可能会用到
1.2威胁建模
使用浏览器访问地址,使用插件Wappalyzer进行网站指纹识别
从上图中可得知:
内容管理系统为:Drupal 7
编程语言为: PHP 5.4.45
Web服务器:Apache 2.2.22
操作系统为:Debian
JavaScript库:jQuery 1.4.4
0x02 漏洞挖掘:
2.1 敏感目录扫描
目录扫描结果如下:
目录很多,先去访问一下robots.txt:
结果如下:
访问一下UPGRADE.txt:
看一下网站的版本:
知道了Drupal的版本后,通过搜索引擎进行查看版本漏洞。
2.2 drupal 7.x漏洞
启动msf
查找dropal类CMS相关漏洞
如下:
择其中最新的漏洞进行攻击尝试
如下
查看配置信息:
如下:
查看需要设置的参数:
设置参数开启攻击
获取shell如下所示
由于得到的不是一个完整的shell环境,所以我们所以pyhton中的pty模块反弹一个完整的shell环境,即直接输入
如下:
2.3 在目录中找配置文件
直接从命令执行得到的目录里面找配置文件
输入命令:
找到数据库的配置信息如下:
数据库为mysql数据库,本地登录账号。
爆破和目录扫描并不是唯一获得后台的方法(并且你需要访问权限),下面这些认证信息你怎么使用)。
给出的是数据库的相关信息。
2.4 改密码进网站
直接本地登陆数据库命令:
进入数据库
切换到drupaldb数据库
如下:
查询users表:
rupal存储用户密码:把密码和用户名或其它随机字符串组合在一起后使用 MD5 方式加密
这里要破解密文,可以使用暴力破解或者是在数据库中更新密码
我使用更新密码;
进入数据库更新密码
确认是否修改完成
修改完成回到网页使用账号密码登陆
登陆成功
点击Dashboard
2.5 ssh爆破
在Dashboard中发现passwd,shadow所以查看根目录**/etc**下的这两个文件;
/etc/shadow无法查看,权限不够,查看etc/passwd,发现目标有/bin/bash,看到这想到了还有端口22,所以ssh连接。但是密码不知道所以只能爆破
直接ssh连接
登录用户成功
2.6 提权
suid提权,通过命令
查看是否具有root权限的命令
发现find具有root权限
直接执行命令
进行提权
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。
转载声明:各家兴 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。
CSDN:
https://blog.csdn.net/weixin_48899364?type=blog
公众号:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect
博客:
https://rdyx0.github.io/
先知社区:
https://xz.aliyun.com/u/37846
SecIN:
https://www.sec-in.com/author/3097
FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85
