知识点;find提权
靶场链接:
https://download.vulnhub.com/aiweb/AI-Web-1.0.7z
目录
一.信息收集
1.主机探测
利用arp-scan -l 命令探测内网主机
2.端口扫描
nmap -sS -T4 -sV -p- -O 192.168.191.136-sS:进行 TCP SYN 扫描(也称为半开扫描)。
-T4:设置定时器模板为 aggressive 模式,这会使扫描速度加快。
-sV:启用服务版本检测。
-p-:指定扫描所有端口。
-O:启用操作系统检测。
发现开启了ssh,80端口
3.目录扫描
没扫到什么有用的目录
二.漏洞挖掘
1.查找漏洞
进入网页
发现左下角有一个英文翻译过来是由drupal提供支持,然后去浏览器搜索drupal漏洞,发现msf就有
三.漏洞利用
直接输入msfconsole,用search命令搜索drupal
我看师傅们用的都是2018的,我也用吧
Use 2然后使用show options命令查看哪些选项是必须设置的
发现rhost和targeturi是必须设置的,rhost填靶机ip,targeturi填drupal,如果失败了把targeturi取消试试
这样就成功了,输入shell进入linux的shell
发现没有交互式shell,用python -c 'import pty;pty.spawn("/bin/bash")'模拟交互式
使用ls命令,查看当前目录下有什么
发现一个flag.txt,点进去看看
发现提示,去翻译看看
它说去看看配置文件,那就去搜搜durpal的配置文件
试试去sites/default/目录查看settings.php文件
往上翻,发现了flag2的提示(暴力破解和字典攻击不是只有获得访问权限的方法(您将需要访问权限),您可以使用这些凭证做什么?)和数据库用户名和密码
使用mysql -u dbuser -p连接数据库
之后使用
show databses;
Use drupaldb;
Show tables;查看数据库,并查看drupaldb的表
发现了一个users表,一个存有用户名和密码
使用select * from users; 命令查看
发现加密了,这个还是密文不好破解,看看网上有没有什么方法,搜了下,发现师傅们用的是重置密码,
退出mysql,退回到www目录,然后输入php scripts/password-hash.sh 123456
还需要在进入数据库一次,进数据库之后先使用drupaldb数据库,不然无法更改
输入
update users set pass='$S$DIUiGjtHiJFbeoAS1x68pta2zgva16MywrRtX3F4EhYWFT13563z' where name='admin';
再进去网页登陆,发现登陆成功
在这个页面找找有没有留下flag提示,最终在左上角找到
这个flag提示要用find -permm -exec,应该跟find提权相关
进入shell中输入
find / -perm -u=s -type -f 2>/dev/null查找root权限
发现find有root权限,那就确定是find提权了,去网上搜了下find提权的命令
find / -name something -exec /bin/sh \;
这里的something是要有存在的文件,可以使用touch命令创一个,也可以利用之前看到的flag1.txt
find / -name flag1.txt -exec /bin/sh \;
这里就提权成功了,接下来查找flag文件
find / -name "*flag*"
查看flag文件
最终完成了这个靶场,学习到了find命令的新用法。