一、准备工作
安装Lampiao靶机
地址:Lampiao靶机下载地址
下载完成点击下图被标记的文件,用vmware workstation打开,输入名称与安装路径即可,安装成功将网络适配设置为NET模式
点击启动,成功如下页面:
打开kali,用nmap进行信息采集:
上边ip为你Kali的ip同网段下的其它ip,进行扫描,找出其中你里边一直没有的那个ip,或者尝试开放了下边图中出现的两端口(22,80)的ip:
开放了80与22端口,80端口是http端口,直接访问80端口:
说明方向正确,继续进行:
使用nmap扫描,发现还有一个1898端口,如下
nmap 192.168.225.140 -sV -sC -Pn -n -v -T5 -p-
访问得:
利用御剑扫描192.168.238.151:1898,打开各个文件观察发现也不行,但在目录中发现了robots.txt文件,查看CHANGELOG.txt文件,发现网站的版本信息7.54,看到cms的版本更新到Drupal7.54,最后更新时间为2017年2月1日,尝试
从这些漏洞中尝试能否利用drupal漏洞
尝试第一个
当尝试在第二个的时候发现成功了,成功反弹shell进入materpreter,初步成功,接下来查看当前用户
getuid //查看当前用户
shell //进入shell主机
现在想办法进入数据库,很容易百度除了durpal数据库的配置文件在/sites/default/settings.php目录中,
进入查找发现
直接进行拖库,下载到本地文件中
使用Dirty-Cow提权
脏牛漏洞:该漏洞具体为,get_user_page内核函数在处理Copy-on-Write(以下使用COW表示)的过程中,可能产出竞态条件造成COW过程被破坏,导致出现写数据到进程地址空间内只读内存区域的机会。修改su或者passwd程序就可以达到root的目的。
重启一个终端,输入以下命令,查看脏牛漏洞
观察提权漏洞,然后一个个尝试,尝试40839出错,尝试40847,发现成功,过程都一样:
将文件存到tmp目录中,
用python建立交互环境,然后将文件编译,执行,进入root账户
修改Lampiao密码
进行登录,发现登录成功。
拿到flag