search drupal 这里找下模块看到有两个一个是2014-10-15,还有一个2018-03-28想想挑个近期一点的用用 use 4 这里的设置信息只要show options 就很好填的不赘述了 获取交互式shell吧 shell 这里如果对方有python3环境就可以使用python调用本地环境获得交互式的命令行 python -c ‘import pty;pty.spawn("/bin/bash")’ ls看一下 有个flag1.txt 直接网页看一下大概是找配置文件吧,这里还是找了一会儿的,没事真实环境的话可能得找更久,同目录的sites目录下 cd sites/default ls 打开看一下吧 cat settings.php flag2加数据库账号密码大收获啊,但是flag2的翻译硬是看不懂,百度翻译一下大概是爆破不是唯一的方法意思就是智取,那我们上数据库看看 show databases;数据库语句这里要加分号忘加也没关系他会提示的 这里会看到两个数据库一个mysql5.0以上自带的 一个是drupaldb 这里我操作带过一下 use drupaldb; show tables; select * from users; 加密了,去网上看下drupal密码加密的算法看看,估计这就是flag2的提示也不能爆破,好像路到这里暂时停了。我们可以数据库update一下更换掉密码,但是密码也是要通过加密,因为之后要解密对比,所以我们也得生成一个加密的密码,这里是后面翻到文章看到drupalcms有一个password-hash.sh文件可以生成加密后的密码 返回目录使用 find / -name password-hash.sh寻找这个文件执行看看 如果在目录下执行不了就返回上级目录执行
进入数据库
update users set pass=‘
S
S
SDXNvPAWR.EEF/fbM2MmRPz2Ct1xl6X./CxWSsSnJPtF92CkNue.1’ where uid=1; 修改成功 然后去登陆一下 账号 admin 密码 123456 有个flag3文件
Special PERMS will help FIND the passwd - but you’ll need to -exec that command to work out how to get what’s in the shadow. 提示是这个,我一开始没看懂,后来看这这个-exec that command以为是说后台命令执行,但我想着感觉怎么这么奇怪然后去搜drupal命令执行漏洞,对应8.x版本的drupal,看了看这个好像用不上。后来才知道是用find命令去找passwd 然后再etc目录下有个passwd,passwd-,shadow,shadow-文件只有第一个能打开,其他没有权限,我们来看看秉承着弄清楚原理的想法我去搜了一下,这里是别人的博客可以看一下