寻找一些安全/渗透方面的朋友一起讨论哇,共同进步
环境部署:
攻击主机:kali(192.168.217.142)
被攻击主机:lampiao(192.168.217.148)
开始前将两个主机配置到同一网段即可
tips:
靶机下载链接: https://download.vulnhub.com/lampiao/Lampiao.zip(下载后解压,将其中的.ovf文件用virtual box 打开即可)
整体思路
拿到一个网站后,第一步先收集信息,因为无法登录这个系统,所以也无法获取到ip端口等信息,所以先用nmap扫描本网段的主机情况,寻找靶机的信息
nmap 192.168.217.0/24扫描区域的网段,发现了疑似的目标服务器,开启了 ssh服务还有80的http服务
直接访问靶机的80端口,查看源码也发现没有任何信息, 很明显入口不是这里
继续使用nmap扫描靶机的详细信息,看看是否有遗漏的端口,果然发现了一个1898的端口,然后直接去访问一波
访问后,发现网站主界面,可能入口在这,并且有输入点,可能存在sql注入,但是我还是先习惯扫后台和漏洞,合理的利用工具,减少手动注入的时间
接下来直接双线操作,Acunetix扫描漏洞,然后使用御剑扫描后台,获取更多的目录
通过御剑扫描到了后台的一些网页,接下来就是对这些二级目录进行漏洞发现
但是根据暴露出来的路径进行查询,发现只有一个includes能用,这个目录下,爆出了网站下面的目录
仔细查看了一下mysql和一些重要文件下面的目录,使用password,qurey等关键字进行筛选,但是没有发现什么,返回acunetix看看有没有什么关键信息
获取的信息
(1)成功爆出了多个目录和文件,includes等目录,install.php,web.config等文件(2)扫描出服务器版本为 Linux Kernel 3.13 on Ubuntu 14.04 (trusty)(3)扫描出Web服务器使用了Drupal 7.54的CMS系统(4)扫描出PHP版本为5.5.9,Apache版本为2.4.99
扫描发现漏洞有很多,发现还有远程代码执行的漏洞,果断先尝试一波
进到msf里面看看有没有相关的模块,直接搜索004发现没有,但是002有,管他的,反正先尝试一下
use进入这个模块,设置rhosts后,run,发现有报错,说是设置什么为 ture,跟着他设置一下
再run一下,发现直接连接进去了,成功getshell
意外的顺利,网站还没仔细看过,不过进入后,第一步就是先创建一个用户,但是发现权限被拒绝,所以开始寻找提权
测试了一下主机的编译环境
python --version ==> 得知Python运行环境为:2.7.6php -v ==> 得知PHP运行环境为:5.5.9,与工具扫描结果一致gcc -v ==> 得知存在gcc编译环境,版本号为4.8.4,说明可以编译C和C++的代码
Linux中提权是知名的漏洞便是脏牛漏洞,尝试先从这个方向入手,
在Kali的命令提示符下搜索:searchsploit dirty或者直接在exploit-db.com在线搜索dirty均可,存在多个脏牛漏洞,具体哪一个是可用的,需要逐步尝试。但是通常使用较为经典的 /etc/passwd 方法完成提权,也就是 40839.c 和 40847.cpp
但是这里我失败了,然后去搜罗了一些漏洞的利用工具:mirrors / FireFart / dirtycow · GitCode
通过upload 上传到主机下
然后开始使用gcc进行编译
编译后,设置密码,但是此时系统崩溃了,继续尝试换个代码,通过upload 从kali主机上上传文件到 tmp/下
第二份代码上传成功后,进入shell进行编译,然后开启python终端,运行./dcow,获取到root的密码dirtyCowFun
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow dcow.cpp -lutil
python -c 'import pty; pty.spawn("/bin/bash")'
最后通过密码登录,直接进入主机
数据库的路径:/var/www/html/sites/default/settings.php
