攻陷 Lampiao 靶机

地球胖头鱼 2021-02-19
系统与内网安全 发布于 2021-02-19 10:40:51 阅读 62 评论 0

前言

最近自己搭建了一个Lampiao的靶机,Lampiao是vulnhub提供的一个虚拟机,用VM打开之后便开始渗透测试,点这里即可下载Lampiao靶机

搭建环境

下载好靶机后解压就可以了,如果已经安装好VMware直接单击运行虚拟机即可,如果没有安装可以点击VMwear下载合适自己计算机的软件来安装,具体过程我就不详细说了可以自行百度。另一个就是需要kali这个虚拟机没有的也需要自行安装。

受害机:Lampiao靶机 192.168.1.103

攻击机:KaLi Linux 192.168.1.109

目标:拿下靶机Root权限和文件夹内的Flag。

主机发现

使用命令nmap -sn 192.168.1.1/24

端口扫描

使用命令nmap 192.168.1.103 -p-

信息收集

发现有80端口但是进去没意义,1898端口进去就是网页,在网页底部发现是drupalcms
whatweb继续收集信息,得到php版本,apache版本,服务器系统版本等

目录扫描,目录均存在目录遍历

获取webshell

根据目录扫描内容看到存在install.php猜想能够通过网站重新安装拿webshell,尝试一下

攻陷Lampiao靶机

发现必须要删除数据库才能重新安装,所以走另一条思路
已经知道网站的cmsDrupal7,在网上搜索到存在cve-2018-7600 Drapul6.x、7.x、8.x远程代码执行漏洞,所以试一试,进入msf,搜索drupal

利用这一项,设置好参数后拿到webshell

由于我们获取的shell并不是一个具有完整交互的shell,对于已经安装了python的系统,我们可以使用python提供的pty模块,只需要一行脚本就可以创建一个原生的终端,命令如下:
python -c 'import pty; pty.spawn("/bin/bash")'

获取数据库权限

得到webshell后看一看网站目录里面有不有什么敏感文件,在sites/default/settings.php里面发现数据库账号密码

然后成功登陆进数据库

找到所有用户的信息

提升权限

系统内核查看命令:uname -a

尝试一下利用脏牛提权sploitsearch dirty搜索一下,复制脚本到根目录

然后通过meterpreter上传

c++格式的文件,先编译,编译命令

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
1.-Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
2.-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
3.-O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
4.-std=c++11就是用按C++2011标准来编译的
5.-pthread 在Linux中要用到多线程时,需要链接pthread库
6.-o dcow gcc生成的目标文件,名字为dcow

编译好了会生成一个名为dcow的可执行文件,然后./dcow -s执行,拿到root权限,root密码自动更改为dirtyCowFun

总结

完成上述上述一系列操作后,不出意外我们就可以拿到管理员权限了,也就是Root权限。我们切换到管理员权限然后进入root目录找到flag.txt然后打开把里面的flag拷贝下来就行了。

总结一下,这就是整个靶机的渗透过程,有几个小知识这里说一下,有些安装了python的系统可以使用python -c 'import pty; pty.spawn("/bin/bash")'拿到一个交互终端。能拿到webshell以后要着重看一下网站目录配置文件,网站目录配置文件可能存在敏感信息或者数据库账号密码等等。这篇文章可能会有问题,请大佬们指正且欢迎留言。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章205
  • 作者收获粉丝7
  • 作者收到点赞0
  • 所有文章被收藏了1
  • 博客总访问量排行第2
  • 博客总访问量4.4 万(每日更新)
查看所有博文