Vulnhub靶机--DC7

0x00项目地址

https://download.vulnhub.com/dc/DC-7.zip

0x01靶机渗透

网络：桥接模式，主机发现

arp-scan -l
nmap -A 192.168.0.106

访问靶机页面，可以发现主页有一个log in界面，刚开始我是一股脑转进SQL注入里了，愣是没搞出来，后面只能看别人怎么做，发现居然是用社会工程学，信息的力量诚不欺我！！

在底下的这个框里显示了作者的名称，我们可以在比较大型的源码网站上搜索一下这个人，访问https://github.com，直接在URL后面加上这个人 /DC7USER

然后就能搜索到该用户库，可以在这个staffdb发现该数据内容就是这个靶机网页的源码，我们在config.php处看到了用户名以及密码

使用该账户密码在页面登陆不了，但是我们前期主机发现可以看到该靶机打开ssh端口，使用ssh登陆靶机，成功登陆后进来就提示有一封邮件，邮件地址在 /var/mail/dc7user 发现该邮件记录了一个定时任务脚本，完成它上面固定的任务，而且还是使用 root 用户执行的，改脚本位置也可以清晰地看到在 /opt/scripts/backups.sh

查看一下脚本权限，ls -l backups.sh 发现改脚本只有两个用户可写，所以我们要在里面写入东西就得需要 www-data 用户也就是 webshell

然后查看脚本具体信息，其在 /var/www/html 界面使用了 dursh 命令，那么说明该文件夹就是靶机的web主页，而且用户的账号密码都在这里，所以我们可以使用 dursh 命令修改用户密码，因为这个靶机系列用户名都是admin，所以修改完成后在网页登录admin即可

0x02安装PHP插件

在底下也可以看到该页面框架使用的是 Drupal8 ，点击进去可以看到该版本已经将php文件的处理器给删除了，如果需要的话要你自行添加

下载的地址是https://www.drupal.org/project/php/releases/8.x-1.1，下载.gz类型

然后回到管理员页面，点击Mange—>Extend—>Install new module，将下载好的文件放进去就行，然后点击Enable newly added moduls，到下面找到PHP Filer文件勾选，然后到底下点击 install 即可安装成功

0x03web连接

选择Mange—>Content—>Add content—>Basic page，将下面内容输入即可在靶机的主目录下创建一个 .php 文件

然后访问 192.168.0.106/info.php 就能看到具体内容，打开蚁剑进行连接，测试连接成功

连接成功后在 /opt/scripts/backups.sh 文件夹中写入反弹shell命令就行

保存后在攻击机输入nc -lvvp 4444等待该定时任务执行，大概等5分钟左右，然后反弹shell连接成功