VulnHub靶场之Lampiao

VulnHub靶场之Lampiao

最近事情有点多，但是还是要抽出点时间来学习的！！！
老样子，Lampiao虚拟机先启动，然后再启动kali！！
Lampiao虚拟机启动如下，不知账户密码，估摸着和上次那个靶机是差不多的！！！

打开kali，使用命令查看kali的ip：

使用nmap进行主机扫描：nmap -sP 192.168.80.1/24：

继续使用nmap扫描端口：nmap -p 1-65535 -sV 192.168.80.129：

开放了，22端口和80端口，1898端口
22端口，尝试ssh弱口令爆破，没有结果，，，
这里就不多说ssh弱口令爆破了，基本上百度都能搜得到，使用msf
80端口也没有是没有用的信息
访问一下http://192.168.80.129:1898/，这个页面我也没发现什么东西，，，，

ok，对该网站进行信息收集
先手动进行信息收集，发现存在robots.txt：

查看一下CHANGELOG.txt文件，发现网站的版本信息：

OK，再进行下一步，直接跑一下目录！！！

emmm，目录贼多，，，，再include里面看见有什么数据库的配置文件之类的
好像没什么卵用，毕竟PHP文件是看不见内容的

到此不知该如何，，，，
仔细想想还是有条路的，既然我们知道网站的搭建框架Drupal 7
那么我们可以直接使用百度搜索一下该搭建框架的漏洞：

找到一个CVE漏洞，，，，
既然有CVE漏洞编号，那就好办了，直接去kali上的msf进行search：

找到了，直接利用该漏洞：use exploit/unix/webapp/drupal_drupalgeddon2
然后show一下需要设置的参数

ok，需要我们设置端口和ip，直接设置：

msf exploit(unix/webapp/drupal_drupalgeddon2) > set RHOST 192.168.80.129
RHOST => 192.168.80.129
msf exploit(unix/webapp/drupal_drupalgeddon2) > set RPORT 1898
RPORT => 1898
msf exploit(unix/webapp/drupal_drupalgeddon2) > run

成功拿到shell：

emmm，以写入文件的方式获取标准shell失败：

换一种方法：python -c 'import pty; pty.spawn("/bin/bash")'，成功：

发现是www-data用户，这说明需要我们进行提权！！
同时，也发现了许多没有扫描出来的文件

打开qrc.png发现是 一个二维码，扫出来的结果是 Try harger! muahuahuahua：

打开audio.m4a，无语什么都没有：

打开LuizGonzaga-LampiaoFalou.mp3，一段2分多钟的mp3，感觉没有什么东西
打开lampiao.jpg，是一张图片，好像也什么都没有
emmm，没啥提示啊，查找用户名：cd /home | ls -l：

找到了用户名，但是我们不知道密码怎么办，，，不慌，一般网站有数据库的配置文件
继续翻找配置信息，，，，在/var/www/html/sites/default/settings.php中找到了配置信息！！

'username' => 'drupaluser'
'password' => 'Virgulino'

登录数据库看看：

在drupal数据库中有user表，第一个用户就是tiago，密码貌似也不是md5加密，不知道了，，，

后面不知道怎么办，查看大佬博客才知道，可以直接使用数据库的密码进行ssh登录，，，，
输入命令：ssh [email protected]，密码就是：Virgulino，成功登入：

那么接下来应该就是提权了，，，，
用uname -a 查看一下内核版本，16年的：

搜索一下漏洞，找到脏牛提权(CVE-2016-5195)

使用命令：cp /usr/share/exploitdb/exploits/linux/local/40847.cpp ~，copy到当前目录：

然后在靶机上创建目录文件，写入到文件中：

（emmm，1.cpp编译时出错，直接在重新创建一个文件40847.cpp）
然后编译运行：g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
参数解释：

1. -Wall 一般使用该选项，允许发出GCC能够提供的所有有用的警告
2. -pedantic 允许发出ANSI/ISO C标准所列出的所有警告
3. -O2编译器的优化选项的4个级别，-O0表示没有优化,-O1为缺省值，-O3优化级别最高
4. -std=c++11就是用按C++2011标准来编译的
5. -pthread 在Linux中要用到多线程时，需要链接pthread库
6. -o dcow gcc生成的目标文件,名字为dcow

执行文件，输入命令：./40847，得到root密码！！！

使用ssh连接：ssh [email protected] 输入密码：dirtyCowFun，成功提权！！：

成功get到flag：

总结：

这个靶场还是学到了很多的东西，比如说如何一步一步进行渗透，
虽说与真实的环境相差甚远，但是最主要了还是用来锻炼自己的能力，
在本篇的实验中还是存在很多的不足的！还是要靠百度来进行一步一步的探索
主要还是自己的知识面太窄了，比如说这个脏牛提权，我就不知道
看来以后还是要多扩大自己的知识面，前面的都还行，遇上一个实验差不多，
到了提权这一步就开始花里胡哨，自己就很懵比，就很难受！！！！
还是要多学习啊~~