最近正好学了学Linux提权,发现vulnhub上有脏牛漏洞的靶机,下载下来玩耍一波。

靶机环境

https://download.vulnhub.com/lampiao/Lampiao.zip

攻击机:kali 192.168.88.134

靶机:与kali处在同一网段

nmap 192.168.88.134/24

1.扫描网络中存活的主机

发现192.168.88.138,剩下的地址是kali的地址,或者是网关地址或DHCP服务器地址。

针对192.168.88.138进行扫描

nmap -p 1-65535 192.168.88.138

发现开启了22端口(可以尝试爆破一波😁,这里我们先不尝试)

2.信息收集

进入1898端口,发现是用drupal为cms

适用 dirsearch 扫描目录,发现很多的敏感信息啊,这就不一个一个看了。

既然是用 drupal为中间件,不如就去看看有没有可以利用的漏洞,发现真的多的一批

那我们直接用msf吧,搜索一下发现有很多的漏洞,我们直接用这个最新的。

查看需要设置哪些选项

别忘了修改端口为1898哦 注意细心一点,拿到shell。

进入shell,查看一下权限,和当前所在的目录。

执行 shell 获取交互式命令,由于我们获取的 shell 并不是一个具有完整交互的 shell,对于已经安装了 python 的系统,我们可以使用 python 提供的 pty 模块,只需要一行脚本就可以创建一个原生的终端,命令如下:

python -c 'import pty; pty.spawn("/bin/bash")'

发现一些奇奇怪怪的文件

http://192.168.88.138:1898/LuizGonzaga-LampiaoFalou.mp3

打开了MP3文件,一直听完发现,这是什么玩意(黑人问号脸???)

http://192.168.88.138:1898/audio.m4a

这个说user是tiago

然后我对这些文件一通乱找,然后发现没有卵用,想着试试提一下权限。

目前的权限还是很低的。

在这里我强烈推荐这个提权辅助工具linux-exploit-suggester-2,可以直接发现系统存在的漏洞。

我们将文件上传,执行一下,发现不能执行,可能没有执行权限。

我们chmod 777 赋予他权限,将他执行,发现CVE-2016-5195,这就是大名鼎鼎的脏牛漏洞。

我们使用一下exp,对exp上传进行编译, 赋予他权限。

g++ -Wall -pedantic -o2 -std=c++11 -pthread -o dcow dcow.cpp -lutil

注意,我们执行这个文件的时候,要 执行 shell 获取交互式命令

python -c 'import pty; pty.spawn("/bin/bash")'

成功执行,可以看到生成了一个root用户,root密码为dirtyCowFun。

我们如何可以用ssh登陆,也可以直接切换为su root 切换root用户。

发现已经是root权限了,切换到根目录,得到flag。


如果你停止 就是低谷 如果你还在继续 就是上坡