本文介绍了利用Metasploit对Drupal 7进行漏洞利用的过程,包括扫描靶机信息、攻击漏洞模块、获取账户密码、提权至管理员权限等。同时还介绍了扫描局域网主机、开放端口扫描、hydra爆破和suid提权等相关技术。
ISCC 2023 实战题涉及 CVE 漏洞复现。在访问 Drupal 7 时,发现存在 cve-2018-7600 和 cve-2018-7602 漏洞。由于无法注册新用户,尝试使用弱密码 drupal/drupal 成功登录,并利用脚本获取进程号。
完成下面两步后,将自动完成登录并继续当前操作。
