DC-7靶机复现
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
通过nmap和dirsearch扫描靶机,发现其使用Drupal CMS。利用Cron任务和Drush命令创建新用户,成功获取webshell并提权,最终找到flag。
🎯
关键要点
- 靶机IP地址为192.168.130.147,开放了80和22端口。
- 使用dirsearch扫描发现Drupal CMS,并尝试暴力破解登录失败。
- 通过查找GitHub项目获取用户凭证,成功SSH登录靶机。
- 尝试SUID提权和查看sudo权限,但未能成功。
- 发现Cron任务执行的脚本/opt/scripts/backups.sh,计划通过该脚本反弹shell。
- 使用Drush命令创建新用户并获取webshell。
- 通过上传PHP文件实现反弹shell,成功获取www-data用户权限。
- 向Cron脚本中添加反弹shell命令,最终获取flag。
❓
延伸问答
靶机的IP地址和开放端口是什么?
靶机的IP地址是192.168.130.147,开放了80和22端口。
如何通过Drush命令创建新用户?
可以通过在Drupal根目录下使用命令'drush user-password admin --password=admin'来创建新用户。
如何获取webshell并提权?
通过上传PHP文件实现反弹shell,成功获取www-data用户权限后,向Cron脚本中添加反弹shell命令。
在靶机上发现了哪些安全漏洞?
尝试使用历史漏洞和暴力破解登录,但未能成功,最终通过Cron任务和Drush命令获取权限。
如何通过Cron任务反弹shell?
可以向Cron任务执行的脚本中添加反弹shell命令,以获取更高权限的shell。
最终如何找到flag?
通过在靶机上执行'find / -name *flag*'命令找到flag,并使用'cat /root/theflag.txt'查看内容。
➡️
