DC-8
January 9, 2024 3:26 PM
Tags:Drupal;exim提权
Owner:只惠摸鱼
信息收集
-
apr-scan 和 nmap 扫描C端存活主机,探测靶机ip:192.168.199.138,开放了80和22端口。
-
扫描开放端口的服务、版本、系统、存在的基础漏洞。
-
sudo nmap -sS -sV -O -sC -p 22,80 192.168.199.138 --script=vuln
-
没有扫出什么漏洞,有一些网站信息可以查看一下。还有就是操作系统信息。Drupal应该是7.
-
-
访问一下80端口,也没有没有太多有用的信息。
-
访问一下刚才扫基础漏洞扫出的目录,发现在CHANGELOG.txt有一个更新日志,CMS应该是7.67版本以上的Drupal
-
在/user/目录下有一个隐藏的用户登陆页面,试了一下弱密码和万能密码,都没用。
-
指纹识别也没有太多内容,扫一下目录吧。
-
目录扫描,也没有发现其他太有用的信息。
-
回到主页在进行寻找有用信息时,发现点击左侧的Details中的超链接时,跳转内嵌页面会有传参nid,随便输入一点指令看看什么结果。
-
发现它是通过查询mysql数据库执行的,且数据库语句也通过报错信息给出,发现是整数型传参,尝试SQL注入,发现可以。
漏洞利用
-
测试查询列数,发现只有一项,且回显的结果在导航栏下方的提示框内。