【安全研究】记一次lampiao靶机渗透

最近笔者整理各类靶机,发现部分靶机没有做过记录,因此借此对lampiao靶机渗透思路进行一次总结,以此完善笔记。

过程记录

一、

导入Lampiao靶机后选择NET模式

开启kali也选择NET模式

Kali的ip为 192.168.56.129

扫描C段寻找靶机地址

【安全研究】记一次lampiao靶机渗透

二、

发现靶机ip为 192.168.56.130

开启了22,80端口,访问80端口

【安全研究】记一次lampiao靶机渗透

三、

没有可利用的信息,通过NMAP扫描主机开放的所有端口

【安全研究】记一次lampiao靶机渗透

四、

访问1898端口

【安全研究】记一次lampiao靶机渗透

五、

先对对目录进行扫描

【安全研究】记一次lampiao靶机渗透

六、

通过扫描获取到了程序版本为Drupal 7.54

【安全研究】记一次lampiao靶机渗透

七、

以及存在目录遍历,但未找到可利用的信息

【安全研究】记一次lampiao靶机渗透

八、

安装文件存在,但需要删除已经存在的数据库才可以再次安装

【安全研究】记一次lampiao靶机渗透

九、

通过其他思路尝试,所搜相关Drupal 7.54的漏洞,发现Drupal 7.x版本存在远程代码执行漏洞 Drupal core Remote Code Execution(CVE-2018-7600) (Drupalgeddon2)

使用MSF搜索相关漏洞利用脚本

【安全研究】记一次lampiao靶机渗透

十、

选择第四项设置相关参数进行利用

【安全研究】记一次lampiao靶机渗透

十一、

获取到shell,权限较低需要提权,查看系统内核版本

【安全研究】记一次lampiao靶机渗透

十二、

Linux为2016年7月更新,可以使用脏牛进行提权 CVE-2016-5195脏牛漏洞范围:Linux kernel>2.6.22 (2007年发行,到2016年10月18日才修复)

漏洞分析:

漏洞具体为,get_user_page内核函数在处理Copy-on-Write(以下使用COW表示)的过程中,可能产出竞态条件造成COW过程被破坏,导致出现写数据到进程地址空间内只读内存区域的机会。修改su或者passwd程序就可以达到root的目的。

Kali中自带了脏牛提权脚本,搜索文件并复制到根目录

脚本存放目录:

/usr/share/exploitdb/exploits/lnux/local/40847.cpp

【安全研究】记一次lampiao靶机渗透

十三、

将脚本上传到靶机中,使用gcc编译,生成dcow在当前目录

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

参数含义:

1.-Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告

2.-pedantic 允许发出ANSI/ISO C标准所列出的所有警告

3.-O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高

4.-std=c++11就是用按C++2011标准来编译的

5.-pthread 在Linux中要用到多线程时,需要链接pthread库

6.-o dcow gcc生成的目标文件,名字为dcow

【安全研究】记一次lampiao靶机渗透

【安全研究】记一次lampiao靶机渗透

十四、

使用puython开启交互式shell,并运行dcow提权

python -c ‘import pty; pty.spawn(“/bin/bash”)’

【安全研究】记一次lampiao靶机渗透

最终、

通过脏牛提权已将管理密码重置为dirtyCowFun,获得root权限。

相关推荐: CVE-2021-3129-Laravel Debug mode 远程代码执行漏洞

CVE-2021-3129-Laravel Debug mode 远程代码执行漏洞 ​ 一、漏洞简介 Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。 Laravel开启了Debug模式时,由于Laravel自带的Ign…

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/vuls/5830.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注