DC-7的靶机渗透

DC-7的渗透：

靶机需要在与kali机在同一网段下：

Dc-7的桌面：

              都是一样的，开始吧！

第一步——信息收集：

       kail的ip：

靶机的ip：

靶机端口信息：

可以看到是久违的ssh端口还有最常见的http端口，还等什么，肯定是域名呀！

靶机的域名信息：

和其他的靶机差不多：是一个http://192.168.13.134

靶机域名的其他信息：

其实也没有什么

登录搡去看看：

还有一个搜索框，没什么用，因为又不搜索什么东西，还有一个登录框：

发现需要登录密码和用户，猜测用户是admin并用burp进行爆破（密码本就使用kali自带的）：

密码就使用自带的

开始爆破：

可见，并没有爆破成功，等陷入迷茫时

查看了别人的资料，几乎都是进行了社工，原因是这个网站又一个创作者的签名

在githeb上还真的搜索到了：

在他的php文件中还搜索到了用户名和密码：

将其登录：

登录不上去

难道不是这个网站的用户？

想起了ssh端口还没使用，将其登录：

登录成功了！

查看一下他的权限:

是一个普通用户，看一下它有什么文件：

发现一个邮件，打开看看：

是root写的一封邮件：发现了一处关键：

第一：Subject: Cron <root@dc-7> /opt/scripts/backups.sh

这个是root使用的shell可执行文件

查看这个shell文件：

既然是可执行文件，那就看看这个文件的权限，看看可不可以写入：

不可以写入，看来还是得看shell文件的内容了，看看是否存在突破口：

看到：drush sql-dump --result-file=/home/dc7user/backups/website.sql这段代码：

drush是一个命令，猜测它可能存在执行的漏洞：查看一下他的用法：

用户和权限管理:

创建用户: drush user-create username --mail=user@example.com --password="password"

为用户分配角色: drush user-add-role "role_name" username

重置用户密码: drush user-password username --password="new_password"

找到了一个用户名的设置，那就好办了，既然这个用户是用来管理这个网站的，那就创建一个该网站下的root用户喽：

drush user-password admin --password="admin"：

再去登录看看：

登录上去了

看看里面有什么东西：
太多东西了，一个一个的看都晃眼睛，查看了资料，发现：

这个地方可以写文件，而且可以写php木马，但是需要安装一个插件：

模块的地址：https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

首先：在extent下点击instal new module：

将地址填写：

点击安装：

然后点击：

找到

将其打勾，然后安装：

这样就成功了

回到原来的地方：

具有php选项了

创建一个一句话木马：

将其保存，后打开蚁剑，连接它：

连接成功

开启虚拟终端，进行shell交互：

在kali终端上连接：

连接成功，现在就看一下权限：

看来还不是想要的

那么就看一下当时那个shell脚本可不可以进行写入：

写入一下：

已经写进入了，那么现在就在开启一个终端用来获得root权限：

开启的端口必须是5555端口：

提权成功（第一次提权需要等待一小会，shell脚本执行需要等一段时间，我做的是第三遍可能会快点）

查看root下的文件：

查看它：

拿下！！！！！！