【安全研究】记一次lampiao靶机渗透 – 作者:安全狗safedog

最近笔者整理各类靶机,发现部分靶机没有做过记录,因此借此对lampiao靶机渗透思路进行一次总结,以此完善笔记。

过程记录

一、

导入Lampiao靶机后选择NET模式

开启kali也选择NET模式

Kali的ip为 192.168.56.129

扫描C段寻找靶机地址

OM7YKSAO_Sstt.png

二、

发现靶机ip为 192.168.56.130

开启了22,80端口,访问80端口

GpqKwJLq_pJXa.png

三、

没有可利用的信息,通过NMAP扫描主机开放的所有端口

WBVd42D2_rhqC.png

四、

访问1898端口

6x9H2Sac_uwuS.png

五、

先对对目录进行扫描

uAWYunkj_d6IF.png

六、

通过扫描获取到了程序版本为Drupal 7.54

2rWJZbnb_Gjfw.png

七、

以及存在目录遍历,但未找到可利用的信息

ggaI8DFE_9VKf.png

八、

安装文件存在,但需要删除已经存在的数据库才可以再次安装

4ZhvnYv9_XXae.png

九、

通过其他思路尝试,所搜相关Drupal 7.54的漏洞,发现Drupal 7.x版本存在远程代码执行漏洞 Drupal core Remote Code Execution(CVE-2018-7600) (Drupalgeddon2)

使用MSF搜索相关漏洞利用脚本

47KSmD7z_EnN2.png

十、

选择第四项设置相关参数进行利用

5RhG46YR_TPyx.png

十一、

获取到shell,权限较低需要提权,查看系统内核版本

图片[11]-【安全研究】记一次lampiao靶机渗透 – 作者:安全狗safedog-安全小百科

十二、

Linux为2016年7月更新,可以使用脏牛进行提权 CVE-2016-5195脏牛漏洞范围:Linux kernel>2.6.22 (2007年发行,到2016年10月18日才修复)

漏洞分析:

漏洞具体为,get_user_page内核函数在处理Copy-on-Write(以下使用COW表示)的过程中,可能产出竞态条件造成COW过程被破坏,导致出现写数据到进程地址空间内只读内存区域的机会。修改su或者passwd程序就可以达到root的目的。

Kali中自带了脏牛提权脚本,搜索文件并复制到根目录

脚本存放目录:

/usr/share/exploitdb/exploits/lnux/local/40847.cpp

N48rm5Q7_PAGW.png

十三、

将脚本上传到靶机中,使用gcc编译,生成dcow在当前目录

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

参数含义:

1.-Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告

2.-pedantic 允许发出ANSI/ISO C标准所列出的所有警告

3.-O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高

4.-std=c++11就是用按C++2011标准来编译的

5.-pthread 在Linux中要用到多线程时,需要链接pthread库

6.-o dcow gcc生成的目标文件,名字为dcow

xyXdRrSF_Yx9p.png

wVCftKbh_2qj4.png

十四、

使用puython开启交互式shell,并运行dcow提权

python -c ‘import pty; pty.spawn(“/bin/bash”)’

wuqUTuvt_dTVj.png

最终、

通过脏牛提权已将管理密码重置为dirtyCowFun,获得root权限。

来源:freebuf.com 2021-01-29 10:55:11 by: 安全狗safedog

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论