m0_73351035的博客

均失败，这里怀疑作者做了一些修改，也有可能是环境原因，那么进行手工测试。再点击 Webform，可直接添加 php 代码进行 getshell。尝试在线站点破解，失败，操作离线破解，先用 hashid 拿到编号。drupal 7 版本存在 RCE 以及 SQL。本次靶机 IP 10.10.10.138。访问 web 页面发现是 drupal。随便编辑内容提交，即可反弹 SHELL。

等待回弹即可，最后却没有回弹，这里可参考网上 writeup，应当是执行环境有问题，且执行过程中验证了某些东西。来到 DC7 Web 页面，可以看到 CMS 位 Drupal。安装完后返回 Content 编辑内容，即可添加 PHP 代码。mbox：内容看着像一个定时备份，但是失败而保存的邮件。安装 PHP Filter 模块：本地下载上传。登陆失败，转换思路：尝试密码复用去登陆 ssh。本地靶机 IP为 10.10.10.137。修改页面内容，则可操作 php 代码。2：利用后台进行 GetSHELL。

进入交互式，若 shell -t 无法进入，则直接输入 shell，然后操作 Python 交互式 SHELL 即可。在 jens home 目录下发现 backups.sh shell 脚本，疑似计划任务，查看计划任务表后排除该提权法。wordpress 默认后台地址：http://wordy/wp-login.php。由于该 SHELL 并不稳定，这里利用 MSF 拿一个稳定的 SHELL。查看 graham 权限，发现所属 devs 组，可任意操作。本次测试靶机 IP：10.10.10.135。

在 jim home 目录下发现其他文件，由此可直接将用户名作为一个字典，得到的 passwords 作为一个字典，进行爆破。思路：尝试登录看看数据包情况，是否存在 SQL 注入 [失败]，并无 SQL注入漏洞。其中 exim4 可用于提权，但更令我好奇的是 test.sh。存在命令注入，burpsuite 抓包反弹 SHELL。先尝试执行其他命令，发现可任意执行其他命令，无需绕过。发现如下存在的页面：均需要认证后才可登陆。发现一个密码，为 Charles 的。内容如下，目前貌似无法利用，

其中 footer.php 最奇怪，一个版权标识，随便几个代码就能完成，偏偏这里将他作为一个单独的 PHP 代码页面，所以推测存在文件包含。这里推荐重新导入靶机，或者返回初始快照，因为前期发送过多数据，导致日志内的数据十分多，一旦包含会造成卡顿。尝试用 ffuf 对该 thankyou.php 页面进行测试，看看是否存在文件包含。2：通过 burpsuite 抓包发送数据包，内容为一句话代码。通过 burpsuite 抓包发送数据包，内容为一句话代码。4：通过 BurpSuite 反弹 SHELL。

本次测试使用到的工具如下：信息收集：nmap、fscan、cmseek、searchsploithash识别：hashid暴力破解：hashcat内部信息收集：无权限提升：无。

demonstration：靶机原本意图是获取所有 Flag，这里懒得弄，有兴趣可以自行去找本次测试使用到的工具如下：信息收集：nmap，fscan，cmseek，searchsploit获取 SHELL：MSF内部信息收集：无权限提升：无。

demonstration：密码复用同时存在于本地登陆情况和外部登陆情况。