Vulnhub内网渗透DC-7靶场通关

个人博客: xzajyjs.cn

DC系列共9个靶场，本次来试玩一下一个 DC-7，下载地址。

下载下来后是 .ova 格式，建议使用vitualbox进行搭建，vmware可能存在兼容性问题。靶场推荐使用NAT(共享)模式，桥接模式可能会造成目标过多不易识别。 M1请使用UTM进行搭建，教程见此

---

IP

DC-7: 192.168.168.8(后来为192.168.168.9)

Kali: 192.168.168.5

---

信息收集

arp-scan -l
# nmap -sn 192.168.168.0/24

先进行端口扫描, 扫到两个端口22, 80 ，并进行进一步服务版本信息探测

nmap -sS -p- 192.168.168.8
nmap -sV -p22,80 192.168.168.8

dirsearch扫一下目录，并且分析整理得到如下信息

• 有robots.txt、config.php等文件，可以去看一下

• 是Drupal的站点

• 并且通过install.php查看到Drupal的版本号为8.7.6，searchexploit搜了一下漏洞，没有什么结果

• 站点可以登录

• 站点尾部@DC7USER可疑，非copyrights

---

渗透过程

通过github中的信息泄露，找到dc7user的账户密码信息

dc7user
MdR3xOgB7#dW

尝试了一下drupal的登陆，失败了。尝试ssh连接，成功。

看下当前目录有个mbox文件，里面有一些信息，root在定时执行/opt/scripts/backups.sh脚本，我们去看一下这个脚本

发现这个脚本中使用了drush命令，百度了一下这个命令是是Drupal的一个命令行外壳和脚本接口。

我们的当前用户dc7user也可以使用。

通过脚本知道网页的目录为/var/www/html

然后我们当前用户对于该目录并没有权限。我们进到这个目录中，使用drush相关命令修改管理员密码。

drush user-information admin		# 查看admin用户信息
drush user-password admin --password="haha123"

改完密码后可以登录到Drupal后台

想直接添加一个webshell的php，然而发现并不能直接写php源码，只有富文本等三种格式，百度了一下发现是高版本的drupal要装一个插件叫做PHP才能写php页面

安装成功并启用组件后就可以写php了。哥斯拉连上去

前面说root会定时执行backups.sh，我们看下这个文件

这个文件属于root，www-data组，所以我们的www-data用户可以修改它，在最后一行加上nc来反弹shell即可，kali来监听。

等待一段时间，就能获得shell了