# arp-scan -l
Interface: eth0, type: EN10MB, MAC: 00:0c:29:43:7c:b1, IPv4: 192.168.1.60
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.1.1 00:50:56:c0:00:08 VMware, Inc.
192.168.1.2 00:50:56:fe:b1:6f VMware, Inc.
192.168.1.98 00:0c:29:76:5d:ff VMware, Inc.
192.168.1.254 00:50:56:f6:02:1b VMware, Inc
探测目标靶机的IP地址!发现192.168.1.98是新增加的IP地址!
# nmap -sT --min-rate 10000 -p- 192.168.1.98 -oN port.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-31 16:13 CST
Nmap scan report for 192.168.1.98
Host is up (0.00075s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
MAC Address: 00:0C:29:76:5D:FF (VMware)
Nmap done: 1 IP address (1 host up) scanned in 3.43 seconds
目标靶机仅开放了两个端口,22和80端口,分别对应的是ssh和http服务!
# nmap -sT -sC -sV -O -p80,22 192.168.1.98 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-31 16:13 CST
Nmap scan report for 192.168.1.98
Host is up (0.00037s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)
| ssh-hostkey:
| 2048 35:a7:e6:c4:a8:3c:63:1d:e1:c0:ca:a3:66:bc:88:bf (RSA)
| 256 ab:ef:9f:69:ac:ea:54:c6:8c:61:55:49:0a:e7:aa:d9 (ECDSA)
|_ 256 7a:b2:c6:87:ec:93:76:d4:ea:59:4b:1b:c6:e8:73:f2 (ED25519)
80/tcp open http Apache httpd
|_http-server-header: Apache
|_http-generator: Drupal 7 (http://drupal.org)
| http-robots.txt: 36 disallowed entries (15 shown)
| /includes/ /misc/ /modules/ /profiles/ /scripts/
| /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt
| /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt
|_/LICENSE.txt /MAINTAINERS.txt
|_http-title: Welcome to DC-8 | DC-8
MAC Address: 00:0C:29:76:5D:FF (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kerne
22端口是OpenSSH 7.4 80端口是Apache起的http服务!暴露出来存在Drupal 7 同时robots文件中存在一下几个目录:/includes/ /misc/ /modules/ /profiles/ /scripts/ /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt /LICENSE.txt /MAINTAINERS.txt
# nmap -sT --script=vuln -p80,22 192.168.1.98 -oN vuln.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-31 16:13 CST
Pre-scan script results:
| broadcast-avahi-dos:
| Discovered hosts:
| 224.0.0.251
| After NULL UDP avahi packet DoS (CVE-2011-1002).
|_ Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.98
Host is up (0.00023s latency).
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-csrf:
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.1.98
| Found the following possible CSRF vulnerabilities:
|
| Path: http://192.168.1.98:80/node/3
| Form id: webform-client-form-3
|_ Form action: /node/3
| http-enum:
| /rss.xml: RSS or Atom feed
| /robots.txt: Robots file
| /UPGRADE.txt: Drupal file
| /INSTALL.txt: Drupal file
| /INSTALL.mysql.txt: Drupal file
| /INSTALL.pgsql.txt: Drupal file
| /CHANGELOG.txt: Drupal v1
| /: Drupal version 7
| /README.txt: Interesting, a readme.
| /0/: Potentially interesting folder
|_ /user/: Potentially interesting folder
MAC Address: 00:0C:29:76:5D:FF (VMware)
Nmap done: 1 IP address (1 host up) scanned in 55.13 seconds
80端口说是存在CSRF,同时还有就是暴露出来的敏感文件信息!
既然只存在80和22端口,那就只能是在80端口上寻找立足点,22端口在渗透测试中优先级是拍后的!先看一下80端口上开放的服务吧:
首页很明显看到了Drupal,同时首页提示了我们一个非常重要的消息:整个意思是在说这个网站在接下来的几个星期中断,要解决某些问题,因此带来了某些不便深表歉意;
尝试访问一下,在信息收集过程中拿到了这些文件和目录信息:
该文件没什么重要信息;继续看其他的文件:
robots文件中禁止了很多东西,这里就不贴全了;
changelog文件,可以推断当前的drupal应该是在7.67之上的
user目录是用户的登录界面!尝试了几个账号密码,发现锁了admin:
尝试很多的公开漏洞,没能利用成功~
通过searchsploit进行搜索,其实能看到,符合当前的Drupal版本的漏洞没有~ 兜兜转转回到了页面上的功能点,查看是不是自己遗漏了什么东西:
三个功能,点击的时候看到了URL的变化,是通过uid来显示的,这个uid看起来很有可能存在sql注入!
添加单引号,发现页面报错了!看来是存在SQL注入了,直接上sqlmap了:
上面是存在的表,那就看看user吧!直接dump!
发现了两个用户,其中的密码还是加密的,直接尝试去在线解密,或者john直接破解:破解成功了一个:
这个密码是john用户的~ 那就先尝试一下能不能ssh直接登陆吧:
但是报错了~ 权限被拒绝 难道这是网页上的账号和密码?
确实是web上的用户和密码,直接登陆进来!那就看看有没有什么功能点,能够被我们利用!
这里卡住了,一直执行不了代码,后来看了一下wp:
其中必须要有能显示的文字才能执行php代码。因为该内容是在用户提交数据后显示的内容,如果没有能显示的内容,则这一部分内容将不会被引用,那么代码也就不会执行。
所以重新写一下:
先进行了测试,保存之后,去提交即可:
正常写内容提交下:
测试成功,直接写反弹shell:
再次提交,同时启动监听:
终于是拿到了立足点,准备提权!
先提升一下shell的交互性:
python3 -c "import pty;pty.spawn('/bin/bash')"
查看/etc/passwd文件,发现了一个用户是dc8user!由于没有wwwdata的密码,所以无法查看sudo权限:
寻找suid文件:
存在exim4,尝试利用searchsploit进行公开漏洞的搜索:
发现了几个可以提权的公开利用,查看当前的exim版本:
4.89在漏洞范围之内,尝试利用!下载下来,起一个简单的http服务,传到靶机上,赋予执行权限去执行!
看到说明存在两种使用方法,第一种方法始终不成功,用了第二种方式,虽然成功了,但是提权之后,一会就断了~
最终快速的进入root目录,之后列文件,读取flag:
年前的最后一个靶场了,大概是在11月份吧,开始练习vulnhub上面的靶场,具体时间自己也不太清楚了,当时看到了红笔师父的讲解,一步步自己跟着打,刚开始有点难度,很多时候都会被卡在寻找立足点,又或者是提权的路上,于是会看大佬们的wp,或者是看看红笔师父接下来的思路是什么;慢慢的自己也能盲打成功了,后来就盲打完,再去看红笔师父的打靶过程,很多时候与师父打靶的方法都一样,这种感觉真的很好,在看的时候,会比较惊喜,“原来还能这样打”,“太强了吧”,“思路真的清晰”;渗透测试最重要的,在个人看来就是思路,年前的目标是50个靶场,这是最后一个啦!不敢说自己进步有多大吧,但是思路会清晰了很多!加油,未来可期!