- 靶机dc7
2. 使用nmap 开路
3.目录扫描,访问robots文件。
先来看看web
根据作者提示:
DC-7 introduces some "new" concepts, but I'll leave you to figure out what they are. ????
While this challenge isn't all that technical, if you need to resort to brute forcing or a dictionary attacks, you probably won't succeed.
What you will have to do, is to think "outside" the box.
Way "outside" the box. ????
dc-7引入了一些“新”概念,但我还是让你们自己来弄清楚它们是什么。----)
虽然这个挑战并不完全是技术性的,但如果你需要诉诸粗暴的强迫或字典攻击,你可能不会成功。
你要做的是,想“外面”的盒子。
“外面”的盒子。----)
在这里卡了很久,扫描目录,版本漏洞都没发现什么问题。后来看了别人的
回归到首页 根据作者提示,DC7USER 在twitter上发现作者的一个开源项目
进行代码审计吗 emmm
打开网站首页 看到drupal DC-1 靶机 和 drupal DC-7 的区别。
显而易见,dc-7是 DIY过
网页页脚 footer 就有作者给的信息,
在guthub上找到开源项目
经过代码审计 发现了数据库用户dc7user 和密码。
好了 代码审计(菜的一批)完成利用dc7user 登录
dc7user/MdR3xOgB7#dW
在user/login 登录
登录失败,ssh试试
登录成功。
这有个邮件 计划任务备份数据库的。
调用脚本 /opt/scripts/backups.sh
发现没 所属用户为root,表示执行时具有s标志,所属组是www-data 说明这个用户也可以rwx。 Dc7user用户只有r x权限
查阅drush 是drupal shell 专门管理drupal站点的shell
扫描得知drupal 用户为admin,cms的管理用户。
利用drush 修改admin的密码
Drush user-password someuser --password=”correct horse battery staple”
Eg:
Drush user-password admin --password=”newpassword” 就可以了
查看备份文件 可以看到
使用drush备份数据库的时候,先cd /var/www/html
因此我们也切换到这个目录
修改成功!
由于之q前那使用admin登录次数过多,导致限制登录,官方给的办法如下:
删文件就算了 我们利用dc7user (ssh登录)drush shell 执行上面的语句。
然后使用 admin登录 cms
成功进入。
Getshell
然后发现菜刀连不上 默认没有开启图片执行功能。
重新回到cms后台。
官方给的解释是: drupal 移除了php code功能,处于安全考虑
然后访问/project/php,后续作为一个Module 可单独安装
下载压缩文件,两个都试一下 zip文件安装报错
然后重新测试php函数
然后报了这个错
根据提示启动php 模块,不然 textformat还没有php code。
测试<php phpinfo();?> 点击preview
然后我们利用msfvenom生成一个php后门webshell
或者在404页构造一个反弹shell.
谈了回来。
写一个反弹shell脚本到 backups.sh文件中 所属组是root,执行
这个时间可能要久一点,因为。
所以耐心点 等着。