靶机: IP:192.168.239.139
攻击机: IP:192.168.239.131
确认目标主机后,使用nmap进行端口扫描,开放了三个端口
访问一下80端口,没什么东西
还有一个1898端口,访问,发现是一个drupal7 cms
目录扫描发现changelog文件
最新一次更新是17年7.54版本
打开msf之后,输入search drupal,搜索其相关的漏洞利用模块,其中有一个18年的CVE-2018-7600 Drupal 7.x 版本代码执行
使用该模块进行配置
输入shell命令,执行ls
查看settings.php配置文件,发现数据库的用户名和密码
cat sites/default/settings.php
其中还包括一个tiago用户
尝试使用该用户登陆ssh,结合数据库找到的密码,ssh连接成功
查看内核,14.04.1的版本是3.13
脏牛提权
回到meterpreter会话,将脚本上传到/tmp目录后进入shell
编译脚本
-Wall
允许发出gcc能提供的所有有用的警告,也可以用 -W (warning) 来标记指定的警告
-pedantic
允许发出 ANSI/ISO C 标准所列出的所有警告
-ON
指定代码优化的级别为 N , o <= N <= 3
-std = c++11
就是用按 C++ 2011标准来编译的
-pthread
在 Linux 中要用到多线程时,需要链接 pthread 库
-o re
FILE 指定输出文件名,在编译为目标代码时,这一选项不是必须的。如果FILE没有指定,缺省文件名是a.out,这里是 re
运行文件re即可获取root权限