日常靶机

靶机开启,直接arp-san -l

扫到IP之后nmap扫着看看

可以看到开启了22,80端口,用工具可以看到CMS为drupal

直接启动MSF

service postgressql start

msfdb init

msfconsole

打进去了,然后通过python拿到shell

翻翻找找,在home目录里面拿到了一个hint

find提权

根据这句提示,我们可以想到通过SUID的可执行文件来提权

以下几个命令可以用来找到系统中运行的SUID文件

find / -user root -perm -4000 -print 2>/dev/null

find / -perm -u=s -type f 2>/dev/null

find / -perm -4000 2> /dev/null

find / -user root -perm -4000 -exec ls -ldb {} ;

有find,好办了,直接利用find执行命令

提权成功,可以在root目录里面拿flag了

当然,这种玩法没有拿到所有flag,我们继续

打数据库admin

在网站目录下的setting.php文件下我们找到了flag2以及数据库的用户名密码

登上数据库后发现有一个users的表

打开看看

这里想要搞到admin的密码,可以先搜一下有无可用的EXP

直接就有一个可以添加管理员账号的EXP,直接打

然后再看看数据库

妥了,直接登录,得到flag3

这里提示我们去看shadow文件,我们利用上面的方式提权至root,去看看

ssh爆破

可以知道有个flag4的用户,可以用ssh登录来爆破这个用户的密码

用hydra爆破一下,密码是orange,直接登录

hydra -l flag4 -P /usr/share/wordlists/metasploit/unix_passwords.txt ssh://192.168.40.154

登录然后拿到flag4