DC7靶场复盘

vulnhub-DC7靶场复盘

最难的是最开始的信息收集 ！！！ 根据网站提示的到外部找信息 一下下面的D7user 去github找到敏感信息泄漏

端口扫描

nmap -A扫描之后发现80端口下面的目录结构 并且看到http是用Drupal 这个软件支持的 （后面回用到

web 探测 + 信息收集

用dirsearch跑一下目录 也没有发现什么有用的网页
页面上有一个搜索框 用sqlmap尝试发现没有注入点

网站首页提示了用目录爆破不会成功 去外面找信息 –> github

在github成功找到了这个用户

在config.php 中找到了用户名和密码 尝试在网站登录 失败 我们就登录ssh 拿到shell

提权

发现有一个叫做mbox的文件 里面是root发送的 并且好像每十五分钟发送一次
看一下这里的sh里有什么内容

dc7user@dc-7:~$ cat /opt/scripts/backups.sh
#!/bin/bash
rm /home/dc7user/backups/*
cd /var/www/html/
drush sql-dump --result-file=/home/dc7user/backups/website.sql
cd ..
tar -czf /home/dc7user/backups/website.tar.gz html/
gpg --pinentry-mode loopback --passphrase PickYourOwnPassword --symmetric /home/dc7user/backups/website.sql
gpg --pinentry-mode loopback --passphrase PickYourOwnPassword --symmetric /home/dc7user/backups/website.tar.gz
chown dc7user:dc7user /home/dc7user/backups/*
rm /home/dc7user/backups/website.sql
rm /home/dc7user/backups/website.tar.gz
You have new mail in /var/mail/dc7user

这里看到有用到drush这个服务

而且可以看到这个文件的属主是root 只有www-data这个用户可以写入 我们只有一个读权限
现在我们的目标就是把root的shell用nc -e 反弹到本机 就是把这个语句写到这个脚本里面让他执行
现在的目的就是如何拿到www-data的shell 用drush
根据搜索的知识 drush一般要在站点所在的目录下操作
cd /var/www/html drush user-information admin
可以查到管理的信息
然后再修改管理的密码 登录到web里面

但是发现这里和上一个靶机不一样 没有php的选项 搜索资料知道可以去下载插件
在网页上用php代码 写上反弹shell
现在就是用这个www用户把反弹shell语句写到刚才的那个脚本中 然后等到十五分的时候自动执行
完成！！