打開靶機(jī)，使用nmap進(jìn)行網(wǎng)段掃描：

排除主機(jī)和kali IP，鎖定靶機(jī)IP：192.168.38.141：

接下來(lái)進(jìn)行端口掃描：

掃描服務(wù)詳細(xì)信息：

這里掃到內(nèi)容管理系統(tǒng)，網(wǎng)站也掃出來(lái)了：http-generator: Drupal 7 (http://drupal.org)

之后可以使用whatweb進(jìn)行指紋識(shí)別，識(shí)別CMS等系統(tǒng)：

接下來(lái)找找CMS（內(nèi)容管理系統(tǒng)）系統(tǒng)漏洞：

使用第四個(gè)，進(jìn)行設(shè)置：

可以看到這里有個(gè)flag1，進(jìn)行查看：

這里有個(gè)提示：

沒一個(gè)CMS都需要一個(gè)配置文件，即Drypal7的配置文件：setting.php:

/**
?*
?* flag2
?* Brute force and dictionary attacks aren't the
?* only ways to gain access (and you WILL need access).
?* What can you do with these credentials?
?*
?*/
?
$databases = array (
? 'default' =>?
? array (
??? 'default' =>?
??? array (
????? 'database' => 'drupaldb',
????? 'username' => 'dbuser',
????? 'password' => 'R0ck3t',
????? 'host' => 'localhost',
????? 'port' => '',
????? 'driver' => 'mysql',
????? 'prefix' => '',
??? ),
? ),
);

比較重要的就是這倆個(gè)，根據(jù)信息登錄數(shù)據(jù)庫(kù)：

查看數(shù)據(jù)庫(kù)，根據(jù)之前看到的信息，選擇：

接下來(lái)查詢users表：

可以看到有倆個(gè)用戶信息以及相應(yīng)密碼，但是密碼是加密的，這里直接修改數(shù)據(jù)庫(kù)密碼，使用Drupal 7自帶密碼生成器生成一個(gè)簡(jiǎn)單密碼進(jìn)行修改：

password: 123 hash: $S$DORnycDcoVYQXFiFThiwtonFe22NAlC8nTZKbzbVwWep4bYBMUFY；

接下來(lái)就是修改數(shù)據(jù)庫(kù)中的密碼：

完事就可以登錄了：

在這里找到了flag3：

Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

特殊的PERMS將有助于查找密碼，但您需要執(zhí)行該命令才能找到陰影中的內(nèi)容。

接下來(lái)根據(jù)提示提權(quán)，通過find，-exec進(jìn)行提權(quán)：