前言:
该靶机主要涉及cms漏洞利用以及linux脏牛进行提权
脏牛漏洞提权原理:
脏牛(Dirty Cow)是Linux内核的一个提权漏洞,之所以叫Dirty Cow,Linux内核的内存子系统在处理写入复制(copy-on-write, cow)时产生了竞争条件(race condition)。恶意用户可利用此漏洞,来获取高权限,对只读内存映射进行写访问。竞争条件,指的是任务执行顺序异常,可导致应用崩溃,或令攻击者有机可乘,进一步执行其他代码。利用这一漏洞,攻击者可在其目标系统提升权限,甚至可能获得root权限。脏牛的CVE编号是CVE-2016-5195。
影响范围: Linux内核 >= 2.6.22
exp资源: GitHub - gbonacini/CVE-2016-5195: A CVE-2016-5195 exploit example.
环境:
kali:192.168.1.128
靶机:192.168.1.173靶机发现:
nmap -A 192.168.1.128/24,发现173网段靶机
信息收集:
nmap -p 1-6000 192.168.1.173,发现开启了3个端口,一般ssh密码设置的都比较复杂,爆破的可能性太小了,所以访问其他端口进行测试
漏洞利用:
访问80端口,啥也没有,进行目录扫描失败
访问1898端口,发现是一个登录界面,尝试了弱口令无果,只好进行目录扫描
python3 dirsearch.py -e bak,zip,tgz,txt -u http://192.168.1.173:1898/
对目录进行访问,找了好久没有发现什么有用的信息,只好先放弃寻找。
在首页或者我们使用Wappalyzer可以看到这是一个Drupal cms,那就好办了。我们可以搜索该cms版本的漏洞进行利用,一般msf中会有一些exp可以进行直接利用
打开msf,搜索Drupal漏洞,我们可以看到一些exp
我们直接尝试这个2018的漏洞,选中1
查看它的利用条件,修改对应目标ip和端口
直接exploit进行攻击,可以看到攻击成功并获取了shell
提权:
接下来我们要做的就是进行提权了,尝试suid进行提权,我们先可以进行suid提权文件的查找
find / -user root -perm -4000 -print 2>/dev/null
查找之后,并没有发现可以进行提权的suid文件,查看计划任务
cat /etc/crontab
啥也没有,只能上传linux漏洞检查脚本进行扫描了,将脚本上传到临时目录
upload /home/kali/桌面/linux-exploit-suggester.sh /tmp
赋予执行权限,并 进行执行
发现可以进行脏牛提权
kali攻击机中自带脏牛脚本,我们搜索dirtycow,找到它的位置,使用40847并进行上传到目标靶机
upload /usr/share/exploitdb/exploits/linux/local/40847.cpp /tmp
在该cms中有一个默认配置文件,保存了一些密码等,我们可以进行读取
发现了密码
并且我们再home目录中发现了tiago用户,使用ssh进行登录,猜测密码为我们找到的,结果登录成功
在进行脚本编译前,需要一个交互式shell,我们使用python先获取一个交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
我们对上传的脏牛脚本进行编译,执行
g++ -Wall -pedantic -o2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
./dcow
因为之前我是已经攻击成功了的,攻击成功后root用户密码为dirtyCowFun,我们直接进行root用户切换
可以看到提权成功。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
