渗透测试靶机— DC系列 DC-7
开启靶机,登录页面,平平无奇
扫描服务信息
可以看到,开启了22和80端口访问80先看看
- 这里可以看出还是Drupal cms,然后就是页面中提示,
- 翻译:
- 页面中还存在
直接搜索试试,发现是github上的源码,应该是需要审计一下
‘
’
- 这里可以看出:存在一个用户名密码
尝试登录,发现不是cms的页面用户,那么应该是ssh的用户名
使用ssh连接
在当前目录发现一个文件
在这个文件中可以发现一个cron,猜测是计划任务
这里发现了一个drush,这是一个可以修改用户密码的命令
那么尝试修改admin密码
这里就修改成功了
使用这个密码登录后台
这里就成功登录了
这里发现是可以写入内容的,但是限制了格式,下载个php格式吧,就写入php的一句话木马
还需要记得,这里有一个路径:https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
填这个官方路径即可
在这里就可以添加php
下载好之后写入木马即可
可以看到这里是写入成功了
反弹shell
- 这里成功拿到shell,前面有一个计划任务
- 并且这里的计划任务是root权限的,那么通过现在获得的shell,将这个计划任务添加反弹shell,也就是将计划任务的root全权限,在反弹回来的shell也就会是root权限
本地监听,就能收到弹回来的shell