Drupal CMS渗透测试实战教学文档<\/h1>

环境信息<\/h2>

攻击机IP<\/strong>: 192.168.44.133<\/li>

靶机IP<\/strong>: 192.168.44.134<\/li> <\/ul>
信息收集阶段<\/h2>
1. 主机发现<\/h3>
使用以下命令确定靶机IP：<\/p>
# 使用nmap进行主机存活扫描<\/span> <\/span><\/span>nmap -sn 192.168.44.0\/24 <\/span><\/span> <\/span><\/span># 或者使用arp-scan<\/span> <\/span><\/span>arp-scan -I eth0 -l <\/span><\/span><\/code><\/pre>2. 端口扫描<\/h3> 发现靶机开放80端口，运行着Drupal CMS系统。<\/p> 前期渗透测试<\/h2> 1. 识别Drupal版本<\/h3> 访问以下文件获取版本信息：<\/p> robots.txt<\/code><\/li> maintainers.txt<\/code><\/li> <\/ul> 在maintainers.txt<\/code>中发现提到"Drupal 7"，推测版本为7.x系列。<\/p> 获取flag1<\/strong>: 通过访问上述文件获得。<\/p> 2. 查找配置文件<\/h3> 访问Drupal的配置文件路径：<\/p> sites\/default\/settings.php <\/code><\/pre> 获取flag2<\/strong>: 从配置文件中获得，同时发现MySQL数据库的账号密码。<\/p> 3. 查找其他flag<\/h3> 在home目录下发现并获取flag4<\/strong>。<\/p> 数据库连接尝试<\/h2> 使用从配置文件中获得的MySQL凭据尝试连接数据库，但连接失败。<\/p> 提权过程<\/h2> 1. 查找SUID文件<\/h3> find \/ -perm -4000 <\/span><\/span><\/code><\/pre>查找系统中所有具有SUID特殊权限的文件，尝试利用这些文件进行提权但失败。<\/p> 2. 使用Metasploit进行渗透<\/h3> 由于手动提权失败，转而使用Metasploit框架：<\/p> msfconsole <\/span><\/span>search drupal <\/span><\/span><\/code><\/pre>选择使用drupalgeddon<\/code>攻击模块，载荷配置为：<\/p> php\/meterpreter\/reverse_tcp <\/code><\/pre> 3. 成功提权<\/h3> 最终成功利用find<\/code>命令进行提权，在root目录下获取thefinalflag<\/strong>。<\/p> 4. 获取flag3<\/h3> 连接数据库后发现账户密码是加密的，需要找到加密脚本：<\/p> 在主目录运行加密脚本<\/li> 生成新密码的hash<\/li> 用新hash替换admin的hash<\/li> 使用新密码登录<\/li> <\/ol> 登录成功后，在flag3中发现对提权方法的提示。<\/p> 关键知识点总结<\/h2> 信息收集技巧<\/strong>:<\/p> 通过robots.txt和maintainers.txt识别CMS版本<\/li> 查找配置文件获取敏感信息<\/li> <\/ul> <\/li> Drupal漏洞利用<\/strong>:<\/p> 使用drupalgeddon漏洞(CVE-2018-7600)<\/li> Metasploit模块选择与配置<\/li> <\/ul> <\/li> 提权方法<\/strong>:<\/p> SUID权限滥用<\/li> find命令提权技巧<\/li> <\/ul> <\/li> 数据库渗透<\/strong>:<\/p> 从配置文件获取数据库凭据<\/li> 处理加密密码的方法<\/li> <\/ul> <\/li> flag获取路径<\/strong>:<\/p> flag1: 通过公开文件获取<\/li> flag2: 从配置文件获取<\/li> flag3: 数据库中获得<\/li> flag4: home目录下<\/li> thefinalflag: root目录下<\/li> <\/ul> <\/li> <\/ol> 难度评估<\/h2> 本靶机难度高于DC-2，涉及多个渗透测试环节和技术点，包括信息收集、漏洞利用、权限提升和数据库渗透等。<\/p>