攻陷 Lampiao 靶机

前言

最近自己搭建了一个Lampiao的靶机，Lampiao是vulnhub提供的一个虚拟机，用VM打开之后便开始渗透测试，点这里即可下载Lampiao靶机

搭建环境

下载好靶机后解压就可以了，如果已经安装好VMware直接单击运行虚拟机即可，如果没有安装可以点击VMwear下载合适自己计算机的软件来安装，具体过程我就不详细说了可以自行百度。另一个就是需要kali这个虚拟机没有的也需要自行安装。

受害机：Lampiao靶机 192.168.1.103

攻击机：KaLi Linux 192.168.1.109

目标：拿下靶机Root权限和文件夹内的Flag。

主机发现

使用命令nmap -sn 192.168.1.1/24

端口扫描

使用命令nmap 192.168.1.103 -p-

信息收集

发现有80端口但是进去没意义，1898端口进去就是网页，在网页底部发现是drupal的cms
用whatweb继续收集信息，得到php版本，apache版本，服务器系统版本等

目录扫描，目录均存在目录遍历

获取webshell

根据目录扫描内容看到存在install.php猜想能够通过网站重新安装拿webshell，尝试一下

发现必须要删除数据库才能重新安装，所以走另一条思路
已经知道网站的cms为Drupal7，在网上搜索到存在cve-2018-7600 Drapul6.x、7.x、8.x远程代码执行漏洞，所以试一试，进入msf，搜索drupal

利用这一项，设置好参数后拿到webshell

由于我们获取的shell并不是一个具有完整交互的shell，对于已经安装了python的系统，我们可以使用python提供的pty模块，只需要一行脚本就可以创建一个原生的终端，命令如下：
python -c 'import pty; pty.spawn("/bin/bash")'

获取数据库权限

得到webshell后看一看网站目录里面有不有什么敏感文件，在sites/default/settings.php里面发现数据库账号密码

然后成功登陆进数据库

找到所有用户的信息

提升权限

系统内核查看命令：uname -a

尝试一下利用脏牛提权sploitsearch dirty搜索一下，复制脚本到根目录

然后通过meterpreter上传

c++格式的文件，先编译，编译命令

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

1.-Wall 一般使用该选项，允许发出GCC能够提供的所有有用的警告
2.-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
3.-O2编译器的优化选项的4个级别，-O0表示没有优化,-O1为缺省值，-O3优化级别最高
4.-std=c++11就是用按C++2011标准来编译的
5.-pthread 在Linux中要用到多线程时，需要链接pthread库
6.-o dcow gcc生成的目标文件,名字为dcow

编译好了会生成一个名为dcow的可执行文件，然后./dcow -s执行，拿到root权限，root密码自动更改为dirtyCowFun

总结

完成上述上述一系列操作后，不出意外我们就可以拿到管理员权限了，也就是Root权限。我们切换到管理员权限然后进入root目录找到flag.txt然后打开把里面的flag拷贝下来就行了。

总结一下，这就是整个靶机的渗透过程，有几个小知识这里说一下，有些安装了python的系统可以使用python -c 'import pty; pty.spawn("/bin/bash")'拿到一个交互终端。能拿到webshell以后要着重看一下网站目录配置文件，网站目录配置文件可能存在敏感信息或者数据库账号密码等等。这篇文章可能会有问题，请大佬们指正且欢迎留言。

本作品采用《CC 协议》，转载必须注明作者和本文链接