vulnhub dc-7

作者: const27 分类: All,靶机们 发布时间: 2020-07-07 08:54

学到了:drupal后台提权,github谢露的渗透思路,又是在邮件中寻找信息,drupal的drush命令利用

nmap扫,开放22/80端口,进80端口网页看看
和dc-1一样,是drupal cms。同时主页告诉我们别想用字典爆破
那看来后台登陆密码就不值得去爆破了。

扫扫目录,万一能捡漏呢,结果扫描速度变得很慢,可能做了防护(放弃扫描
msf上的drupal模块都打了一遍,没啥用
迷惑,看wp,原来还有社会工程学orz

我们搜索一下这个人,在github上找到了他

clone一下源码,在config.php里找到了这个

试了一下账户登录,发现能直接登录shell

在这个目录里找到了settings.php

这账号密码似乎没啥用,mysql也登不上去
但是在~/mbox里看到了一个cron任务

cat一下,发现有个drush命令

而这个drush命令是用来专门管理drupal站点的命令,可以改用户密码,我们把admin改了

同时发现该文件是www-data拥有完全权限的,所以我们得得到www-data权限
进入admin后台
接下来就是drupal后台提权了.

后台-》content-》basic page

这个text format如果在早版本中,会有一个php code,能把写入的文本作php解析。drupal 8(似乎)后就因为安全性取消了这个选项,但能从模块中安装这个选项,所以我们就安装一下。

extend点击install new module,输入
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
让drupal安装这个模块

安装好后点这个

然后再extends里把这个勾上-》install

出现这个就代表成功了

写shell把,这次我直接在主页文章写

然后蚁剑直接连主页就行了。
然后在蚁剑里修改上面提到的定时任务(弹个shell回来,因为定时任务是root执行所以弹回来的shell就是root(mbox提示))

连上乐

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

Leave a Reply

Your email address will not be published. Required fields are marked *

标签云