Vulnhub-DC7学习笔记
1.fping + Nmap 探测靶机
靶机开放了80端口和22端口
2.对80端口进行测试
http服务有robots.txt文件,暴露了一些目录,都试了一下很难有利用价值
提示我们不要暴力破解
页面底端有一个用户名,我们直接搜索发现github上有一个数据库的配置文件,里面含有密码,这个入口真的是难找
3.使用获取到的用户名进行ssh登录
除了80端口,我们还探测到22端口也是开放的,我们用获取到的用户名密码登录成功
用户家目录中有一些数据库备份文件,和一个文本文件,查看文本文件
这像是一个定时任务执行的日志,执行的是/opt/scripts/backups.sh
执行的用户是root
查看一下这个脚本文件
可以看到一个命令drush,且这个脚本的用户组为www-data组有写权限
提示直接输入drush可以显示全部命令
这个命令确实很多,是管理Drupal的命令,我们仔细找找可以利用的
提示我们需要到Drupal中才可以使用drush命令
我们进入Drupal的目录后命令执行成功
成功修改admin密码后我们登录web管理页面看一看
可以新增页面,我们可以直接写一句话来连接,但是好像少了php的运行环境,用script运行php也不会被解释。
在插件中我们可以直接安装php环境,首先在官网ftp找到链接下载,之后在web中安装我们下载的内容
装好后就可以运行php code了,我们就可以写一句话链接了
4.提权
使用一句话链接后,我们反弹shell方便操作
还记得我们之前看到过的www-data对定时执行的脚本有写权限,我们直接使用定时任务脚本反弹shell
我们从dc7user用户的日志记录中可以看到备份15分钟执行一次,只要我们在备份执行后去链接我们反弹的root用户的shell即可
377
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
