文章总结： 本文详细记录了DC-1靶场的渗透过程。通过信息收集识别DrupalCMS并利用漏洞获取Shell，读取配置文件泄露数据库凭证后重置管理员密码登录后台，最后利用SUID漏洞成功提权至Root。该实战涵盖了Web渗透、数据库利用及本地提权等核心技能。 综合评分： 90 文章分类： 渗透测试,实战经验,WEB安全

---

一次打穿 DC-1 靶场：Drupal 漏洞 + SUID 提权，完整拿下 Root！

原创

蜡笔小qian

黑客映像馆

2026年1月9日 20:51 湖北

靶场名称：DC-1 靶场类型：VulnHub / Drupal CMS 目标：获取所有 Flag 并拿下 Root 权限 适合人群：Web 渗透 / CMS 漏洞 / 提权初学者

一、信息收集：先找到靶机在哪

靶场的第一步永远是资产发现。

使用 nmap 对整个网段进行 SYN 扫描，找出存活主机：

nmap -sS -T4 192.168.186.80/24

扫描结果中发现 192.168.168.133 为 DC-1 靶机 IP，随后对目标主机进行更深入的探测。

二、端口与服务识别

对目标 IP 执行全量扫描，获取端口、服务及系统指纹：

nmap -A 192.168.149.150

结果显示：

• 80 端口（HTTP）开放
• 无明显其他服务暴露

既然 Web 服务开放，那自然优先从 Web 入手。

三、Web 信息收集：确认 CMS 类型

访问 80 端口网页，页面看起来非常“朴素”，但通过 Wappalyzer 插件进行指纹识别后发现：

网站使用 Drupal CMS 搭建

Drupal 是一个老牌 CMS，历史漏洞非常多，尤其是早期版本，往往是“靶场常客”。

四、目录扫描：寻找突破口

先对站点进行目录扫描，看看有没有隐藏路径或敏感文件。

dirsearch -u 192.168.190.137 -e *

扫描结果发现大量 Drupal 相关目录，这进一步确认了 CMS 类型，也为后续漏洞利用提供了基础。

五、漏洞利用：Drupal 漏洞直接拿 Shell

通过 searchsploit 搜索 Drupal 相关漏洞：

searchsploit drupal 7

在 Metasploit 中选择合适的 Drupal 漏洞模块：

• 设置靶机 IP（RHOSTS）
• 检查配置无误后直接 run

当看到 连接成功 的提示时，说明漏洞利用成功，已经拿到 Web Shell。

设置靶场ip（rhosts）查看配置后直接run进行攻击

当出现连接成功，就表示OK了

六、后渗透：初始 Shell 与 Flag1

先执行基本命令，确认当前权限和目录：

发现存在 flag1.txt，读取后得到第一条提示。

提示内容大意： 每一个优秀的 CMS 都离不开配置文件，去找 Drupal 的配置文件。

七、配置文件泄露：拿下数据库账号密码

Drupal 默认配置文件路径为：

/var/www/sites/default/settings.php

在该文件中成功获取：

• flag2
• 数据库用户名
• 数据库密码

这是 Drupal 靶场中非常经典的一步。

八、稳定交互 Shell：解决命令执行受限

直接执行命令时发现交互性较差，于是使用 Python 升级 Shell：

python -c "import pty;pty.spawn('/bin/bash')"

成功获得一个较为稳定的交互式 Shell。

九、数据库利用：获取用户 Hash

使用泄露的数据库账号登录数据库，查看用户表：

select * from users;

发现：

• admin 用户
• fred 用户
• 对应的 密码 Hash

直接爆破发现两个用户的密码都无法跑出来。

十、思路转变：直接修改管理员密码

Drupal 会自动对用户密码进行加密，因此可以利用其加密逻辑生成新密码。

在 Drupal 中生成加密后的弱口令（如 123），得到新的 Hash 值。

随后：

1. 登录数据库
2. 替换 admin 用户的密码 Hash

然后进行替换密码

这样就已经改了，我们也可以尝试一下爆破（因为这算是一个弱口令了）

十一、后台收割：拿下 Flag3

登录 Drupal 后台后，在页面中顺利找到 flag3。

找到flag3

十二、本地提权线索：发现 Flag4 用户

查看系统用户信息：

cat /etc/passwd

发现 flag4 用户，但当前权限无法直接读取其目录。

尝试：

• 爆破？成本高
• 查看 /etc/shadow？权限不足

👉 只能提权

十三、Linux 提权：SUID 提权拿下 Root

使用 find 查找具有 SUID 权限的可执行文件：

find / -perm -u=s -type f 2>/dev/null

发现存在可利用的 SUID 程序，通过经典 SUID 提权方式成功获得 root 权限。

十四、最终 Flag：靶场通关 🎉

切换到 Root 后，读取最终 Flag，DC-1 靶场全部通关完成。

#

十五、靶场总结 & 学到的东西

📌 本次 DC-1 靶场核心考点：

• Nmap 信息收集
• CMS 指纹识别
• Drupal 漏洞利用
• 配置文件敏感信息泄露
• 数据库用户 Hash 利用
• Drupal 密码加密机制
• Linux SUID 提权

📌 非常适合练习的能力：

• CMS 渗透完整思路
• 从 Web 到系统的横向推进
• 后渗透与提权基础

---

如果你觉得这篇复盘对你有帮助 欢迎 点赞 / 在看 / 转发 👍 后续还会持续更新 VulnHub / OSCP / 玄机靶场实战复盘

👉 关注公众号：黑客映像馆 一起把靶场打透，把思路打熟 💻🔥

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑客映像馆 蜡笔小qian《一次打穿 DC-1 靶场：Drupal 漏洞 + SUID 提权，完整拿下 Root！》