1.Nmap扫描子网

得知靶机IP地址，开放ssh和http服务

2.查看80端口http服务

有个登录框，试了试简单的弱口令没什么用。提示是Drupal站。

3.使用msf查找Drupal相关漏洞

试了第二个就成功了，设置rhosts后执行



进入shell后发现有flag1.txt。查看后提示去找配置文件

找找资料知道Drupal的配置文件在/var/www/sites/default里，在这里找到settings.php

查看文件有提示说**和字典不是唯一方式，也就是说有机会可以**和字典。。。。当然还有数据库用户名密码。。。

试了半天想起了ssh，用户名都存在/etc/passwd，查看发现用户flag4

4.使用hydra+字典**flag4用户

发现flag4用户的家目录里有flag4.txt

提示用同样的方法获得root权限。。。字典**root未遂。。。感觉走偏了。想起了刚才的mysql用户名密码。登上去看看

5.查看数据库

在databases库user表里有admin用户和加密的密码

找到一个加密文件，但是直接运行报错，菜鸡又不会改。

6.使用drupalgeddon漏洞创建管理员帐号

看群里大佬发攻略expolit上有一个sqli可以创建管理员帐号
附上链接https://www.exploit-db.com/exploits/34992
运行脚本添加帐号

登录后台看到flag3，提示要用特殊的参数提权。find大写了应该是暗示，最后还是看大佬攻略知道了要利用suid提权。

7.SUID提权

查找具有root权限的命令，看到了暗示的那个find。

使用find提权

看到最后的flag文件