文章目录
NAT 模式:将攻击机与靶机设置在同一网段下
有多种获得 root 的方法,但是,我已经包含了一些包含初学者线索的 flag。
总共有五个 flag,但最终目标是在 root 的主目录中找到并读取 flag。 您甚至不需要成为 root 即可执行此操作,但是,您将需要 root 权限。
使用 nmap -sS -O 192.168.237.0/24 扫描网段,找寻靶机的 IP。
根据扫描出的系统信息,以及端口的开放情况,判断 192.168.237.161 是目标靶机的 IP,所以使用 nmap -A -T4 -p- 192.168.237.161 对靶机进行全面扫描。
扫描出靶机的 http 站点是一个 Drupal 站点。
使用 http://192.168.237.161 访问靶机的 http 站点。
访问成功后根据页面内容,再次确定该站点的 CMS 为 Drupal 。
内容管理系统(CMS):一种位于 WEB 前端(Web 服务器)和后端办公系统或流程(内容创作、编辑)之间的软件系统。内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。 ——摘自百度百科
使用 msfconsole 运行 MSF 工具。
根据网站的 CMS 信息,在 MSF 中使用 search drupal 搜索相关的漏洞利用模块。
找到了两个与 http 相关的模块,根据 Rank(等级)优先选择带颜色的模块,使用 use 2 装载模块。
使用 show options 查看需要进行的设置,发现只需要设置 RHOSTS(目标),所以使用 set RHOSTS 192.168.237.161 进行设置。设置完后如下:
使用 run 或 exploit 运行模块。
运行模块后,成功建立会话,使用 shell 即可获得靶机的 WebShell 。
使用 whoami 查看当前用户的权限。
为了方便后面的操作,使用 python -c "import pty;pty.spawn('/bin/bash')" 实现交互式 Shell。
交互式 Shell:可以执行一些需要上下文的命令,并且会显示操作的结果。
使用 ls -al 浏览当前目录中所有的文件及其权限。
发现了 flag1.txt 文件,使用 cat flag1.txt 进行查看。
每个好的 CMS 都需要一个配置文件 - 你也一样。
根据文件内容,百度搜索 Drupal 站点的默认配置文件,得知文件名为 settings.php 。
先使用 find /var/www/ -name settings.php 在网站目录下搜索 settings.php 文件。
成功搜索到配置文件,使用 cat sites/default/settings.php 进行查看。
蛮力和字典攻击不是获得访问权限的唯一方法(您将需要访问权限)。
您可以使用这些凭据做什么?
查看后发现这个文件就是我们要找的第二个 flag,并且还发现了靶机数据库的账户和密码。
使用 mysql -u dbuser -pR0ck3t 尝试登录靶机数据库。
登录成功后,使用 show databases; 查看所有数据库。
根据库名进行判断,drupaldb 应该是靶机的 Drupal 站点使用的数据库。
使用 use drupaldb; 进入数据库,然后使用 show tables; 查看当前数据库中的所有表。
浏览表名后,发现一个 users 表,猜测其可能保存着网站用户的相关信息。
使用 select * from users\G; 纵向显示 users 表中的所有字段。
找到了 admin(管理员)账号的密码,根据密码形式可以得知密码经过了加密。
得到密码密文后可以尝试进行解密或修改密码,搜索资料后发现这种加密是不可逆,并且 Drupal 提供了可以直接修改管理员密码的方法。在 /var/www/ 下使用 php scripts/password-hash.sh tkm 即可生成 tkm 这个字符串对应的 hash 值。
再次进入到数据库中,使用 update drupaldb.users set pass="<hash 值>" where name='admin' 即可修改 admin 的密码为之前生成 hash 时使用的字符串,此处为 tkm 。
尝试使用 admin:tkm 登录靶机的 Drupal 站点。
成功使用管理员账户登录站点,看到最上方有一排选项,如果看不懂,就都试一次。
尝试点击 Dashboard 选项,找到了 flag3.txt ,点击进行查看。
特殊权限将有助于查找密码 - 但您需要 -exec 该命令才能确定如何获取阴影中的内容。
查看后发现文本内容中有两个特别的大写字母 perms 和 find ,根据此前 flag 的形式,使用 find / -name "flag*" 搜索所有开头为 flag 的文件。
成功找到 flag4.txt ,使用 cat /home/flag4/flag4.txt 进行查看。
您可以使用相同的方法在 root 中查找或访问标志吗?
大概。 但也许这并不容易。 或者也许是?
perms ,猜测可能需要使用 SUID 提权,使用 find / -user root -perm -4000 -print 2>/dev/null 查找所有具有 SUID 权限且属主为 root 的文件。SUID 权限:在执行过程中,调用者会暂时获得该文件的所有者权限,且该权限只在程序执行的过程中有效。
发现了 find 命令,并且根据 flag3 中提到的 -exec,可以确定需要使用 find 提权。
使用 touch tkm 创建提权需要的文件,然后使用 find tkm -exec '/bin/sh' \; 进行提权。
成功获得 root 权限,根据提示使用 cd /root 访问 /root 目录,找到了 thefinalflag.txt ,使用 cat thefinalflag.txt 进行查看。
做得好!!!!
希望你喜欢这个并学到了一些新技能。
您可以通过 Twitter 与我联系,让我知道您对这段小旅程的看法 - @DCAU7
nmap 找寻并扫描靶机。MSF 的对应模块,进行漏洞利用。Python 实现交互式 Shell。DC-1 官网
内容管理系统_百度百科
密码HASH特点
修改 Drupal 的管理员密码
这是我第一次尝试写博客,如果您觉得哪里有问题,可以在评论区进行留言,我会马上进行修正的,谢谢!
一、什么是MQTT协议MessageQueuingTelemetryTransport:消息队列遥测传输协议。是一种基于客户端-服务端的发布/订阅模式。与HTTP一样,基于TCP/IP协议之上的通讯协议,提供有序、无损、双向连接,由IBM(蓝色巨人)发布。原理:(1)MQTT协议身份和消息格式有三种身份:发布者(Publish)、代理(Broker)(服务器)、订阅者(Subscribe)。其中,消息的发布者和订阅者都是客户端,消息代理是服务器,消息发布者可以同时是订阅者。MQTT传输的消息分为:主题(Topic)和负载(payload)两部分Topic,可以理解为消息的类型,订阅者订阅(Su
TCL脚本语言简介•TCL(ToolCommandLanguage)是一种解释执行的脚本语言(ScriptingLanguage),它提供了通用的编程能力:支持变量、过程和控制结构;同时TCL还拥有一个功能强大的固有的核心命令集。TCL经常被用于快速原型开发,脚本编程,GUI和测试等方面。•实际上包含了两个部分:一个语言和一个库。首先,Tcl是一种简单的脚本语言,主要使用于发布命令给一些互交程序如文本编辑器、调试器和shell。由于TCL的解释器是用C\C++语言的过程库实现的,因此在某种意义上我们又可以把TCL看作C库,这个库中有丰富的用于扩展TCL命令的C\C++过程和函数,所以,Tcl是
开门见山|拉取镜像dockerpullelasticsearch:7.16.1|配置存放的目录#存放配置文件的文件夹mkdir-p/opt/docker/elasticsearch/node-1/config#存放数据的文件夹mkdir-p/opt/docker/elasticsearch/node-1/data#存放运行日志的文件夹mkdir-p/opt/docker/elasticsearch/node-1/log#存放IK分词插件的文件夹mkdir-p/opt/docker/elasticsearch/node-1/plugins若你使用了moba,直接右键新建即可如上图所示依次类推创建
文章目录概念索引相关操作创建索引更新副本查看索引删除索引索引的打开与关闭收缩索引索引别名查询索引别名文档相关操作新建文档查询文档更新文档删除文档映射相关操作查询文档映射创建静态映射创建索引并添加映射概念es中有三个概念要清楚,分别为索引、映射和文档(不用死记硬背,大概有个印象就可以)索引可理解为MySQL数据库;映射可理解为MySQL的表结构;文档可理解为MySQL表中的每行数据静态映射和动态映射上面已经介绍了,映射可理解为MySQL的表结构,在MySQL中,向表中插入数据是需要先创建表结构的;但在es中不必这样,可以直接插入文档,es可以根据插入的文档(数据),动态的创建映射(表结构),这就
HTTP缓存是指浏览器或者代理服务器将已经请求过的资源保存到本地,以便下次请求时能够直接从缓存中获取资源,从而减少网络请求次数,提高网页的加载速度和用户体验。缓存分为强缓存和协商缓存两种模式。一.强缓存强缓存是指浏览器直接从本地缓存中获取资源,而不需要向web服务器发出网络请求。这是因为浏览器在第一次请求资源时,服务器会在响应头中添加相关缓存的响应头,以表明该资源的缓存策略。常见的强缓存响应头如下所述:Cache-ControlCache-Control响应头是用于控制强制缓存和协商缓存的缓存策略。该响应头中的指令如下:max-age:指定该资源在本地缓存的最长有效时间,以秒为单位。例如:Ca
如何用IDEA2022创建并初始化一个SpringBoot项目?目录如何用IDEA2022创建并初始化一个SpringBoot项目?0. 环境说明1. 创建SpringBoot项目 2.编写初始化代码0. 环境说明IDEA2022.3.1JDK1.8SpringBoot1. 创建SpringBoot项目 打开IDEA,选择NewProject创建项目。 填写项目名称、项目构建方式、jdk版本,按需要修改项目文件路径等信息。 选择springboot版本以及需要的包,此处只选择了springweb。 此处需特别注意,若你使用的是jdk1
前言上一篇我们简要讲述了粒子系统是什么,如何添加,以及基本模块的介绍,以及对于曲线和颜色编辑器的讲解。从本篇开始,我们将按照模块结构讲解下去,本篇主要讲粒子系统的主模块,该模块主要是控制粒子的初始状态和全局属性的,以下是关于该模块的介绍,请大家指正。目录前言本系列提要一、粒子系统主模块1.阅读前注意事项2.参考图3.参数讲解DurationLoopingPrewarmStartDelayStartLifetimeStartSpeed3DStartSizeStartSize3DStartRotationStartRotationFlipRotationStartColorGravityModif
VMware虚拟机与本地主机进行磁盘共享前提虚拟机版本为Windows10(专业版,不是可能有问题)本地主机为家庭版或学生版(此版本会有问题,但有替代方式)最好是专业版VMware操作1.关闭防火墙,全部关闭。2.打开电脑属性3.点击共享-》高级共享-》权限4.如果没有everyone,就添加权限选择完全控制,然后应用确定。5.打开cmd输入lusrmgr.msc(只有专业版可以打开)如果不是专业版,可以跳过这一步。点击用户-》administrator密码要复杂密码,否则不行。推荐admaiN@1234类型的密码。设置完密码,点击属性,将禁用解开。6.如果虚拟机的windows不是专业版,可
IK分词器本文分为简介、安装、使用三个角度进行讲解。简介倒排索引众所周知,ES是一个及其强大的搜索引擎,那么它为什么搜索效率极高呢,当然和他的存储方式脱离不了关系,ES采取的是倒排索引,就是反向索引;常见索引结构几乎都是通过key找value,例如Map;倒排索引的优势就是有效利用Value,将多个含有相同Value的值存储至同一位置。分词器为了配合倒排索引,分词器也就诞生了,只有合理的利用Value,才会让倒排索引更加高效,如果一整个Value不进行任何操作直接进行存储,那么Value和key毫无区别。分词器Analyzer通常会对Value进行操作:一、字符过滤,过滤掉html标签;二、分
题外话:抑郁场,开局一小时只出A,死活想不来B,最后因为D题出锅ura才保住可怜的分。但咱本来就写不到DB-LongLegs(数论)本题题解法一学自同样抑郁的知乎作者幽血魅影的题解,有讲解原理。法二来着知乎巨佬cup-pyy(大佬说《不难发现》呜呜)题意三种操作:向上走mmm步向右走mmm步给自己一次走的步数加111,即使得m=m+1m=m+1m=m+1问从(0,0)(0,0)(0,0)走到(a,b)(a,b)(a,b)的最小操作次数,值得注意的是操作三不可逆。解析假设我们最终一步的大小增长到mmm,那么在这个过程中我能以[1,m][1,m][1,m](当步数增长到该数时)之间的任何数字向上或