VulnHub DC-7 靶机渗透测试中，如何找到并利用特定漏洞进行攻击？

VulnHub DC-7 靶机渗透测试笔记 靶机系列：DC Series | 难度：中等 | 核心漏洞：GitHub OSINT 信息泄露 + Drupal PHP Filter RCE + PATH 劫持提权 📋 目录 环境信息 信息收集 漏洞利用 权限提升 总结 🖥️ 环境信息 项目 信息 靶机地址 192.168.168.170 攻击机地址 192.168.168.128（Kali Linux） 目标 CMS Drupal 8 提权方式 PATH 劫持 / Drupal RCE + cron 🔍 信息收集 1. 主机发现 使用 nmap 进行主机存活探测： nmap -sn 192.168.168.0/24 2. 端口与服务扫描 对目标主机进行全端口详细扫描： nmap -A -p- 192.168.168.170 3. CMS 识别 cms是 💡 知识点：识别 CMS 类型是渗透测试的关键一步，常用方法包括查看页面源码、响应头的 X-Generator 字段、特定路径（如 /wp-login.php、/user/login）等。Drupal 的典型特征是 /user/login 登录页和 CHANGELOG.txt 文件。 4. 目录枚举 dirsearch -u http://192.168.168.170/ --exclude-status=404,403 不显示404、403状态码，过滤无效结果。 5. Drupal 版本探测 droopescan scan drupal -u http://192.168.168.170（版本问题没装成功） 找了一下，有点提示。 💡 知识点：droopescan 是专门针对 Drupal、WordPress 等 CMS 的扫描工具，可以识别插件版本、主题、用户名等信息。但此处版本信息对直接利用帮助有限。 🔑 漏洞利用 6. GitHub OSINT — 关键突破口 直接去 GitHub 上找，只有这一个： 🔗 https://github.com/Dc7User/staffdb 找对了！ 配置文件泄露信息： $servername = "localhost"; $username = "dc7user"; $password = "MdR3xOgB7#dW"; $dbname = "Staff"; 之前爬目录看到登录界面： 但是密码不对（数据库凭据不能直接用于 Web 登录）。 💡 知识点：这是 GitHub OSINT（开源情报）的典型场景。开发者将含有数据库凭据的配置文件上传到公开仓库，造成敏感信息泄露。真实渗透中，通过 GitHub 搜索 org:目标公司 password、filename:.env、filename:config.php 等关键词，往往能找到高价值凭据。 🚪 立足点获取（SSH 登录） 尝试将泄露的凭据直接用于 SSH： ssh dc7user@192.168.168.170 # 密码：MdR3xOgB7#dW 登录成功！ 🔺 权限提升 7. 基本信息枚举 查找 SUID 文件： find / -perm -u=s 2>/dev/null 查看 sudo 权限： sudo -l 该用户无权限。 查看用户目录： 目录下有两个文件： 全是邮件： 💡 关键线索：邮件中发现 root 通过 cron 定时执行脚本。