日常靶机
靶机开启,直接arp-san -l
扫到IP之后nmap扫着看看
可以看到开启了22,80端口,用工具可以看到CMS为drupal
直接启动MSF
service postgressql start
msfdb init
msfconsole
打进去了,然后通过python拿到shell
翻翻找找,在home目录里面拿到了一个hint
find提权
根据这句提示,我们可以想到通过SUID的可执行文件来提权
以下几个命令可以用来找到系统中运行的SUID文件
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -perm -4000 2> /dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;
有find,好办了,直接利用find执行命令
提权成功,可以在root目录里面拿flag了
当然,这种玩法没有拿到所有flag,我们继续
打数据库admin
在网站目录下的setting.php文件下我们找到了flag2以及数据库的用户名密码
登上数据库后发现有一个users的表
打开看看
这里想要搞到admin的密码,可以先搜一下有无可用的EXP
直接就有一个可以添加管理员账号的EXP,直接打
然后再看看数据库
妥了,直接登录,得到flag3
这里提示我们去看shadow文件,我们利用上面的方式提权至root,去看看
ssh爆破
可以知道有个flag4的用户,可以用ssh登录来爆破这个用户的密码
用hydra爆破一下,密码是orange,直接登录
hydra -l flag4 -P /usr/share/wordlists/metasploit/unix_passwords.txt ssh://192.168.40.154
登录然后拿到flag4