【安全研究】记一次lampiao靶机渗透 – 作者:安全狗safedog

最近笔者整理各类靶机，发现部分靶机没有做过记录，因此借此对lampiao靶机渗透思路进行一次总结，以此完善笔记。

过程记录

一、

导入Lampiao靶机后选择NET模式

开启kali也选择NET模式

Kali的ip为 192.168.56.129

扫描C段寻找靶机地址

二、

发现靶机ip为 192.168.56.130

开启了22，80端口，访问80端口

三、

没有可利用的信息，通过NMAP扫描主机开放的所有端口

四、

访问1898端口

五、

先对对目录进行扫描

六、

通过扫描获取到了程序版本为Drupal 7.54

七、

以及存在目录遍历，但未找到可利用的信息

八、

安装文件存在，但需要删除已经存在的数据库才可以再次安装

九、

通过其他思路尝试，所搜相关Drupal 7.54的漏洞，发现Drupal 7.x版本存在远程代码执行漏洞 Drupal core Remote Code Execution(CVE-2018-7600) (Drupalgeddon2)

使用MSF搜索相关漏洞利用脚本

十、

选择第四项设置相关参数进行利用

十一、

获取到shell，权限较低需要提权，查看系统内核版本

十二、

Linux为2016年7月更新，可以使用脏牛进行提权 CVE-2016-5195脏牛漏洞范围：Linux kernel>2.6.22 (2007年发行，到2016年10月18日才修复)

漏洞分析：

漏洞具体为，get_user_page内核函数在处理Copy-on-Write(以下使用COW表示)的过程中，可能产出竞态条件造成COW过程被破坏，导致出现写数据到进程地址空间内只读内存区域的机会。修改su或者passwd程序就可以达到root的目的。

Kali中自带了脏牛提权脚本，搜索文件并复制到根目录

脚本存放目录：

/usr/share/exploitdb/exploits/lnux/local/40847.cpp

十三、

将脚本上传到靶机中，使用gcc编译，生成dcow在当前目录

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

参数含义：

1.-Wall 一般使用该选项，允许发出GCC能够提供的所有有用的警告

2.-pedantic 允许发出ANSI/ISO C标准所列出的所有警告

3.-O2编译器的优化选项的4个级别，-O0表示没有优化,-O1为缺省值，-O3优化级别最高

4.-std=c++11就是用按C++2011标准来编译的

5.-pthread 在Linux中要用到多线程时，需要链接pthread库

6.-o dcow gcc生成的目标文件,名字为dcow

十四、

使用puython开启交互式shell，并运行dcow提权

python -c ‘import pty; pty.spawn(“/bin/bash”)’

最终、

通过脏牛提权已将管理密码重置为dirtyCowFun，获得root权限。

来源：freebuf.com 2021-01-29 10:55:11 by: 安全狗safedog