vulhub靶机--lampiao_脏牛提权原理

前言：

该靶机主要涉及cms漏洞利用以及linux脏牛进行提权

脏牛漏洞提权原理：

脏牛（Dirty Cow）是Linux内核的一个提权漏洞，之所以叫Dirty Cow，Linux内核的内存子系统在处理写入复制（copy-on-write, cow）时产生了竞争条件（race condition）。恶意用户可利用此漏洞，来获取高权限，对只读内存映射进行写访问。竞争条件，指的是任务执行顺序异常，可导致应用崩溃，或令攻击者有机可乘，进一步执行其他代码。利用这一漏洞，攻击者可在其目标系统提升权限，甚至可能获得root权限。脏牛的CVE编号是CVE-2016-5195。

影响范围： Linux内核 >= 2.6.22

exp资源： GitHub - gbonacini/CVE-2016-5195: A CVE-2016-5195 exploit example.

环境：

kali：192.168.1.128
靶机：192.168.1.173

靶机发现：

nmap -A 192.168.1.128/24，发现173网段靶机

信息收集：

nmap -p 1-6000 192.168.1.173，发现开启了3个端口，一般ssh密码设置的都比较复杂，爆破的可能性太小了，所以访问其他端口进行测试

漏洞利用：

访问80端口，啥也没有，进行目录扫描失败

 访问1898端口，发现是一个登录界面，尝试了弱口令无果，只好进行目录扫描

python3 dirsearch.py -e bak,zip,tgz,txt -u http://192.168.1.173:1898/

对目录进行访问，找了好久没有发现什么有用的信息，只好先放弃寻找。

 在首页或者我们使用Wappalyzer可以看到这是一个Drupal cms，那就好办了。我们可以搜索该cms版本的漏洞进行利用，一般msf中会有一些exp可以进行直接利用

 打开msf，搜索Drupal漏洞，我们可以看到一些exp

我们直接尝试这个2018的漏洞，选中1

查看它的利用条件，修改对应目标ip和端口

直接exploit进行攻击，可以看到攻击成功并获取了shell

提权：

接下来我们要做的就是进行提权了，尝试suid进行提权，我们先可以进行suid提权文件的查找

find / -user root -perm -4000 -print 2>/dev/null

查找之后，并没有发现可以进行提权的suid文件，查看计划任务

cat /etc/crontab

 

啥也没有，只能上传linux漏洞检查脚本进行扫描了，将脚本上传到临时目录

upload /home/kali/桌面/linux-exploit-suggester.sh /tmp

赋予执行权限，并 进行执行

发现可以进行脏牛提权

kali攻击机中自带脏牛脚本，我们搜索dirtycow，找到它的位置，使用40847并进行上传到目标靶机

upload /usr/share/exploitdb/exploits/linux/local/40847.cpp /tmp 

 在该cms中有一个默认配置文件，保存了一些密码等，我们可以进行读取

 发现了密码

 并且我们再home目录中发现了tiago用户，使用ssh进行登录，猜测密码为我们找到的，结果登录成功

在进行脚本编译前，需要一个交互式shell，我们使用python先获取一个交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

我们对上传的脏牛脚本进行编译，执行

g++ -Wall -pedantic -o2 -std=c++11 -pthread -o dcow 40847.cpp -lutil 
 
./dcow

因为之前我是已经攻击成功了的，攻击成功后root用户密码为dirtyCowFun，我们直接进行root用户切换

可以看到提权成功。