Vulnhub LAMPIAO: 1 靶机渗透 – 作者:hambugerhan

基本信息:

1. Kali IP: 192.168.43.86

2. 靶机IP: 192.168.43.143

3. 靶机下载链接: https://download.vulnhub.com/lampiao/Lampiao.zip(新手注意下载后解压,将其中的.ovf文件用virtual box 打开即可)

1. 信息收集:

靶机简介:1615105848_60448f38e8fc1c2379ba8.png!small?1615105849288

用 virtual box 打开,测试靶机能否正常启动:

1615105900_60448f6cc9b4eb93260f1.png!small?1615105901202

Kali IP获取:

1615105934_60448f8e47d1d8a58f00e.png!small?1615105935027

利用 arp-scan -l 命令扫描统一网段下的所有设备:

1615106031_60448fef522bc3d0af3fa.png!small?1615106032150

发现靶机。

利用nmap对靶机的端口进行扫描:

1615106231_604490b7615077eef7ed7.png!small?1615106231920

发现22端口、80端口和1898端口开放,其中80端口和1898端口都是http协议,用浏览器打开。

1615106311_604491075c44e0e78b7b0.png!small?1615106311775

发现并无有用信息,于是换1898端口:

1615106736_604492b0836f5516df8f2.png!small?1615106736984

发现网站,进行目录扫描,发现robots.txt:

1615109340_60449cdc1ea1fb434c275.png!small?1615109341315

检测是否能sql注入:

1615106938_6044937a85086c80c2825.png!small?1615106939011

Ban掉此方法。检查网页,发下下图两处能点击:

1615107013_604493c5e31a0c532e8e7.png!small?1615107014389

点击后发现进入不同的网页,且url中下图处发生变化:

1615107308_604494ec3f50d5c2dcd3c.png!small?1615107309720

1615107621_60449625487b82d7c5c27.png!small?1615107621754

并且在node/3中有一个音频文件和一句话“Node 2 is not working”

先打开音频文件听一下,没有发现有用信息。

将node/3改为node/2试一下:

1615108567_604499d72b31786a1c7e7.png!small?1615108567727发现里面有一个m4a和一个png文件:

打开m4a文件听到一句话:user:tiago

打开png文件,发现一个二维码,扫描二维码:

1615109065_60449bc9a32e88d8a82c6.png!small?1615109066110

发现一句话,并未发现什么有用信息。。。

打开刚才扫描到的robots文件,发现一个CHANGELOG.txt文件:1615109425_60449d31ef89116f3b47e.png!small?1615109426654

打开该文件:

1615109509_60449d85298ae396ef740.png!small?1615109509853

发现当前版本为:Drupal 7.54, 2017-02-01

2. 进行操作

利用cewl获取网站关键信息从而生成一个密码字典:

1615109942_60449f36eed9a0c6404a0.png!small?1615109943940

利用hydra对用户tiago密码进行爆破:

1615110144_6044a000b25e6da2772c6.png!small?1615110145454

爆破出用户密码:tiago:Virgulino

利用ssh进行登录:

1615116315_6044b81ba6b1915e4c099.png!small?1615116316542

查看靶机信息:1615116790_6044b9f6d74ee2503ac0a.png!small?1615116791551

利用sudo -l 查看有无能否进行sudo操作的文件,发现没有。

1615116963_6044baa3be7e6a8be11e8.png!small?1615116964613

由于靶机是2016年的,并且是Drupal 7 版本,于是搜索有无对应版本的漏洞。1615117622_6044bd36d9310b2ab38d7.png!small?1615117623791

发现有个2018年的漏洞。

通过搜索学习发现,drupal 7 2016年的可以执行脏牛提权。

3. 提权

用Kali 自带的漏洞搜索:searchsploit 搜索有无能进行脏牛提权的shell。

1615119184_6044c350aa4c393faed32.png!small?1615119185946

将40847.cpp文件复制到当前目录下,并且利用 python2 -m SimpleHTTPService 1234 开启临时的建议服务器(注意:我的kali安装了Python3,因此使用Python2时要特别注明,如果没安装Python3则不用特殊注明,Python3无法利用该方法开启简易服务器,另外,开启服务器后默认的访问目录为当前开启服务器的目录,即我在 ~/桌面 这个目录下,则在浏览器中访问的话则默认能看 ~/桌面 目录下的文件。)

1615120097_6044c6e1451805f7cace3.png!small?1615120098131

在刚才ssh登录的tiago用户的/tmp目录下下载40847.cpp文件:

1615120230_6044c766d0bbd5db6977b.png!small?1615120231739

利用g++ -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil 命令来对40847.cpp文件进行编译:

1615120822_6044c9b63ca9027b0cbcb.png!small?1615120822992

其中 :

-O2 表示编译器的优化选项,

-std=c++11表示按照c++ 2011标准来编译,

-pthread 是指利用到多线程时需要用到的库(我也不知道为啥要加上这个参数,希望评论区有大神能指出)

-o name 中name表示生成的文件的名字

获取到了root的密码:dirtyCowFun,再利用ssh登录:

1615121037_6044ca8d9a44ecca9f5ee.png!small?1615121038538

发现登陆后已经是root了。

1615121078_6044cab617e4b10954065.png!small?1615121078872

找到flag.txt文件,并且查看信息。完成。

4. 总结:

用到的知识点:

1. 对不同端口的观察,有时候http登录会用除了80端口外的其他端口。

2. cewl和hydra的使用

3. 英语听力。。。。。。比如获取到用户名tiago

4. 脏牛提权(可以多学习学习)

来源:freebuf.com 2021-03-07 20:51:24 by: hambugerhan

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论