Vulnhub-DC-1

1.信息收集

使用工具nmap扫描主机端口

这是Drupal是使用PHP语言编写的开源内容管理框架（CMF），它由内容管理系统（CMS）和PHP开发框架（Framework）共同构成

Web指纹扫描

发现是：drupal[1]，属于cms系统之一

根据漏洞库https://www.exploit-db.com/

返现是有漏洞CVE

2.漏洞利用

Msf是有漏洞的可以直接利用

搜索Drupal模块

配置参数payload、rhosts、lhost

查看目录结构

进入shell，执行python -c ‘import pty;pty.spawn(“/bin/bash”)’

根据上面flag1.txt的提示，在网站目录中寻找相应的配置文件（当然没有提示，也应该寻找看一下，毕竟是敏感文件）

发现flag2、数据库名、用户名、密码

flag2提示：“暴力和字典攻击不是获得访问权限的唯一方法(你将需要访问权限)。你能用这些证书做什么?”

使用获取的数据库用户名和密码登录数据库

发现该用户只能管理drupaldb数据库。进入数据库，查看库中的表

发现users表

表列数比较多，内容比较乱，可以使用select * from users\G;

可以查看name和pass列

利用工具hashid查看发现未知哈希值

搜索一下找到了scripts/password-hash.sh 查看文件内容，得知是php脚本，应该是生成一个hash密码，可以试一下使用该脚本生成一个弱密码，比如：123456 12345678 利用把数据库的密码覆盖

进到数据库下面进行密码覆盖

显示OK 可以登录了

翻译的结果：特殊的PERMS将有助于找到passwd-但您需要执行该命令以确定如何获取shadow中的内容

可以查看/etc/passwd文件

发现flag4这个用户

查看是否存在flag4.txt

发现是有的

查看flag4.txt 当然如果没有权限访问

可以利用hydra爆破ssh的密码，爆破的密码：orange

ssh连接目标主机

进入root目录。发现权限不够，需要提权

3.提权

首先想到使用 suid 提权找到一个属于 root 的有s权限的文件

SUID(Set User ID)，SUID 可以让调用者以文件拥有者的身份运行该文件，所以我们利用 SUID 提权的思路就是运行 root 用户所拥有的 SUID 的文件，那么我们就可以运行该文件的时候就得获得 root 权限的身份了

查找哪些命令具备 SUID 标识

使用find命令进行提权：

利用 find 命令随便查找一个正确的文件（夹）路径，后面加上 -exec shell 命令 \;

提权 /bin/bash 或者 /bin/sh

提权成功后，拿到最后一个flag