一信息收集
IP扫描
端口扫描
访问 80
发现登录框
上面提示说爆破可能不会成功,方法在外框所以可能在这里:
谷歌搜索@DC7USER 发现Dc7User
进入staffdb项目看看,在config.php发现账号密码
发现有用户名和密码:username = "dc7user"
password = "MdR3xOgB7#dW";
登录失败
登录ssh
发现在mbox中记录着root的定时任务,项目位置为/optscripts/backups.sh
查看 backups.sh
二 漏洞利用
drush更改密码
发现能运行drush命令,drush命令可以更改密码,在/var/www/html目录下运行drush命令,更改admin的密码。
用更改后的密码登录到系统中
发现在Content ==>Add content ==>Basic page处似乎可以写shell
但发现Drupal8不支持PHP代码,百度后知道Drupal 8后为了安全,需要将php单独作为一个模块导入。进入
Extend ==>Install new module,输入php模块包的url.
点击install进行安装,安装完毕后点击中间这个去激活块。
勾选后拉到最下面点击install,php模块就激活好了
回到Basic page这里写shell。
蚁剑连接
查看当前用户是www-data用户
三提权
写入反弹shell,不过前面用drash命令时,发现是定时任务,可以再定时任务中添加用/bin/bash执行的nc命令,然后监听:
等了一会就连上了:
查看flag
