靶机基本信息
lampiao靶场下载地址:https://download.vulnhub.com/lampiao/Lampiao.zip
使用vmare打开,配置kali和靶场处于同一个网络,建议都为nat
主机发现
目标靶机IP为192.168.255.158
也可以使用nmap进行主机发现:
信息收集
简单的端口扫描:
详细的扫描结果:
访问audio.m4a文件:
语音获得用户名:tiago
访问qrc.png文件:
图片二维码扫描获得信息,需要爆破
网站目录扫描:
访问http://192.168.255.158:1898/robots.txt
着重看看Disallow的信息
继续枚举获得:http://192.168.158:1898/CHANGELOG.txt
发现是:Drupal 7.54, 2017-02-01
获取密码字典:cewl:通过爬行网站获取关键信息创建一个密码字典
cewl http://192.168.158:1898/?q=node/1 -w yc.txt
利用cewl来生成一份结合网站目标的社工性质的密码字典
hydra爆破
hydra -l tiago -P password.txt 192.168.255.158 ssh
登录ssh
ssh tiago@192.168.255.158
发现是低权限用户!需要提权!
权限提升
谷歌搜索引擎搜索:Drupal 7.54 exploit
#1063256 [CVE-2018-7600] Remote Code Execution due to …
利用MSF进行提权:
成功通过漏洞渗透进入系统,获得低权限用户,和前面ssh登陆的tiago用户权限类似,这是另外一种渗透的方法,可以好好学习。下一步要找到反弹shell获取root权限,通过网上对Durpal 7版本2016年都可以使用dirty(脏牛)进行提权,非常有名的一个漏洞提权目前已经修复,仅供参考学习。
使用dirty提权
继续开启本地pthon服务,然后把40847.cp发送到靶机上:
在靶机上使用wget命令下载:
提权命令:g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
命令参数解析:
-Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
-O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
-std=c11就是用按C2011标准来编译的
-pthread 在Linux中要用到多线程时,需要链接pthread库
-o dcow gcc生成的目标文件,名字为dcow
执行gcc编译可执行文件,可直接提权。
获取root用户密码:
使用root账户密码登录ssh
成功读取flag
免责声明:本文章涉及的知识和技能仅用于学习研究,如有用于非法途径或未被授权的真实网络环境,所造成的后果及连带责任自行承担,与本文作者无关,倡导把安全知识和技能用于正当、正规、正义的途径。