DC-7的渗透:
靶机需要在与kali机在同一网段下:
Dc-7的桌面:
都是一样的,开始吧!
第一步——信息收集:
kail的ip:
靶机的ip:
靶机端口信息:
可以看到是久违的ssh端口还有最常见的http端口,还等什么,肯定是域名呀!
靶机的域名信息:
和其他的靶机差不多:是一个http://192.168.13.134
靶机域名的其他信息:
其实也没有什么
登录搡去看看:
还有一个搜索框,没什么用,因为又不搜索什么东西,还有一个登录框:
发现需要登录密码和用户,猜测用户是admin并用burp进行爆破(密码本就使用kali自带的):
密码就使用自带的
开始爆破:
可见,并没有爆破成功,等陷入迷茫时
查看了别人的资料,几乎都是进行了社工,原因是这个网站又一个创作者的签名
在githeb上还真的搜索到了:
在他的php文件中还搜索到了用户名和密码:
将其登录:
登录不上去
难道不是这个网站的用户?
想起了ssh端口还没使用,将其登录:
登录成功了!
查看一下他的权限:
是一个普通用户,看一下它有什么文件:
发现一个邮件,打开看看:
是root写的一封邮件:发现了一处关键:
第一:Subject: Cron <root@dc-7> /opt/scripts/backups.sh
这个是root使用的shell可执行文件
查看这个shell文件:
既然是可执行文件,那就看看这个文件的权限,看看可不可以写入:
不可以写入,看来还是得看shell文件的内容了,看看是否存在突破口:
看到:drush sql-dump --result-file=/home/dc7user/backups/website.sql这段代码:
drush是一个命令,猜测它可能存在执行的漏洞:查看一下他的用法:
用户和权限管理:
创建用户: drush user-create username --mail=user@example.com --password="password"
为用户分配角色: drush user-add-role "role_name" username
重置用户密码: drush user-password username --password="new_password"
找到了一个用户名的设置,那就好办了,既然这个用户是用来管理这个网站的,那就创建一个该网站下的root用户喽:
drush user-password admin --password="admin":
再去登录看看:
登录上去了
看看里面有什么东西:
太多东西了,一个一个的看都晃眼睛,查看了资料,发现:
这个地方可以写文件,而且可以写php木马,但是需要安装一个插件:
模块的地址:https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
首先:在extent下点击instal new module:
将地址填写:
点击安装:
然后点击:
找到
将其打勾,然后安装:
这样就成功了
回到原来的地方:
具有php选项了
创建一个一句话木马:
将其保存,后打开蚁剑,连接它:
连接成功
开启虚拟终端,进行shell交互:
在kali终端上连接:
连接成功,现在就看一下权限:
看来还不是想要的
那么就看一下当时那个shell脚本可不可以进行写入:
写入一下:
已经写进入了,那么现在就在开启一个终端用来获得root权限:
开启的端口必须是5555端口:
提权成功(第一次提权需要等待一小会,shell脚本执行需要等一段时间,我做的是第三遍可能会快点)
查看root下的文件:
查看它:
拿下!!!!!!