下载地址:
1、 链接:https://pan.baidu.com/s/1SLVBM4pTov5fqbjtjD9Wnw
提取码:xpip
2、http://www.five86.com/downloads/DC-7.zip
3、https://download.vulnhub.com/dc/DC-7.zip
靶机:DC7(VMware桥接) IP:192.168.88.106
攻击机:Kali(VMware桥接) IP:192.168..88.103
先用namp扫描一下靶机,查看端口信息和系统等信息。
开放ssh和web服务
访问一下80端口,是Drupal CMS,首页中的描述大概是:
欢迎来到DC-7
DC-7引入了一些“新”概念,但是我会让您知道它们是什么。
尽管这一挑战并不是技术性的全部,但是如果您需要诉诸于暴力**或字典攻击,那么您可能不会成功。
您将要做的就是在盒子外面思考。
方式在盒子外面。
突破点在左下角
利用搜索引擎搜索@DC7USER,是一个github账号,点进去后有一个staffdb的源代码文件,且提示这个源码是DC7的突破点。
config.php中有数据库的账号和密码
但是之前namp扫描结果没有数据库的端口,web登录也登陆失败,然后尝试ssh 登陆成功。
ls查看一下,有两个文件,还有提示新邮件在一下路径,这个路径下文件和mbox中内容一样,mbox文件是一个计划任务,定时备份,备份执行的源码在/opt/scripts/目录下
查看脚本文件,有两个命令gpg和drush,
gpg是用来加密,drush是drupal框架中用来做一些配置的命令,可以修改用户名密码。
转到/var/www/html目录,否则会报错,使用drush命令修改admin用户的密码
修改成功后进入web后台登录,登陆成功
在basci page中可以添加php代码来反弹shell,但是Drupal8不支持php代码,搜索原因后了解Drupal8后为了安全,需要将php单独作为一个模块导入。
点击install new module,然后将模块包的链接添加,点击insall
选择第二项
然后到下面选中PHPFilter,点击安装
安装成功
然后编辑首页,在页面中写入反弹shell语句,或先写入一句话 再利用webshell反弹shell。
先在kali端监听8888端口,然后访问首页,shell反弹成功
交互式shell
在之前找到的/opt/scripts/backups.sh文件发现拥有者root,而root在www-data组内,当前身份可对backups.sh文件进行读写执行操作,可利用这个文件进行提权。
将反弹shell代码写入backups.sh文件
写入成功后可能需要等待backups.sh文件运行,大约15分钟运行一次,如果长时间没有反弹可能是命令输错了,需要耐心。
反弹成功后flag就在/root目录下。