vulnhub DC-8

扫描获取靶机ip

nmap扫描开放的端口服务

访问80端口，是一个drupal的网站

随便点点，发现有个比较可以的点，url上有nid=1

在后面加一个单引号报错

存在sql注入，放到sqlmap上跑一下，成功得到两个用户名密码

把密码保存为一个pass文件，用john破解得到密码

暂时不知道是哪个用户的，两个用户分别尝试登录（登录路径在/user/login）,成功使用john用户登录

按照以下步骤操作

选择php文件

写入php代码

尝试蚁剑连接，不过没有成功

写入反弹shell的代码

kali监听4444端口，在contact us随便输入点提交

成功反弹shell

切换到交互式shell

尝试suid提权，搜索具有suid权限的文件

有一个exim4非常可疑，搜索一下可能是邮件服务器

搜索可利用的exp

使用46996.sh这个脚本，打开本地web服务，把这个脚本放到/var/www/html目录下，靶机使用wget下载到tmp目录

添加权限

执行，但是这里失败，没有提权成功

看一下这个脚本中有没有什么执行的命令，看到有两个执行的方法

尝试第一种方法没有成功

尝试第二种方法成功获取到root权限

切换到root目录查看flag