前言：

vulnhub里面的一个靶场，涉及到drupal7 cms远程代码执行漏洞（CVE-2018-7600）和脏牛提权。

靶机下载地址：https://mega.nz/#!aG4AAaDB!CBLRRYQsAhTOyPJqyjC0Blr-weMH9QMdYbPfMj0LGeM

0x01信息收集

第一步打开虚拟机要输入用户密码才能登入，这样的话也不知道ip地址；

那么我们先要获取它的ip，由于在一个内网，可以使用nmap进行扫描，我虚拟机设置的是NAT模式，那么看看NAT模式的网段

是192.168.106.0/24的段，那么使用nmap进行C段扫描

明显ip为192.168.106.130，接着全端口扫描一下

访问80端口发现一个没用的静态页面，再访问1898端口，出现web页面

访问robots.txt

发现很多txt和php目录泄露，直接可以读取txt文件

查看源码，任意点一个图片链接

又是一个目录泄露，目录下的任意文件读取，但是发现只泄露的这个目录，这下面又全是css,js,png文件，先放在一边吧。

在漏扫和目录扫描之前，我先用谷歌插件wappalyzer知道了这个web是用drupal7 cms写的

同时还知道了操作系统，web服务器，后台语言。

在看看刚刚泄露出来的txt文件，发现一个文件里面也爆出了cms的版本，还更具体

这么多暗示，怕不是就是利用这个drupal7 cms的漏洞

百度一下drupal7 cms的漏洞，发现是存在一个远程代码执行漏洞的，那么去msf中查一查这个exp，并且利用。

0x02 drupal7 cms远程代码执行漏洞（CVE-2018-7600）利用

进入msf，然后search搜索CVE-2018-7600

然后一些列的常规操作，先use,再show option，再set，最后run

这里设置一下ip和端口就可以了，端口是1898

show targets发现有很多版本，不知道选哪一个，先默认吧，直接run

直接反弹了shell，发现是www-data权限，这个权限是相当于访客权限，getsystem不行。

如果不熟悉meterpreter命令交互，那么可以在根目录下写入一句话木马，然后，利用菜刀连接。

我们查看网站根目录下面的/sites/default/settings.php文件，看其设置的配置信息

我们看到了敏感信息，数据库的用户和密码

我们用mysql登录进去查一下这个数据库的user表

先从meterpreter进入shell交互命令，也就是目标机系统的操作命令。

但是mysql好像进不去，这个shell是简易版的

然后参照别人的方式用python获取标准shell

python -c 'import pty; pty.spawn("/bin/bash")'

成功进来了，查看users的用户和密码两个字段。

第一个用户就是tiago，密码拿去在线md5一下，解密不了。

最后试来试去，想到了还有个ssh没用到，这会不会是ssh的登录账号和密码，再去看看那个setting.php文件，发现里面就Virgulino一个密码，那么想到用户应该是用的这一个通用密码。

试了试，发现登录上去了，但是权限还不是system的。

0x03脏牛提权

查看一下内核版本，发现是ubuntu 16年的

在网上去搜索一下，试了很多17年的，但是不行，再看看，发现一个16年内核版本的通杀提权，叫做脏牛提权。

去搜索一下这个漏洞，这个提权方法叫做脏牛提权，那么他的提权脚本关键字是dirty。

再kali里面搜索，或者直接用github上面的脚本，然后复制到目标机中。

网上搜索得知是这一个cpp的脚本。

在目标机上创建一个40847.cpp脚本，然后将kali里面的脏牛cpp的脚本复制过来。

然后进行编译运行：

g++ -Wall -pedantic -O2 -std=c++ -pthread -o  .cpp -lutil

执行成功，root用户需要用dirtyCowFun密码登录服务器。

ssh重新连接，用户为root，密码为dirtyCowFun

成功提权获得flag。

对vulnhub靶机lampiao的getshell到脏牛提权获取flag的更多相关文章

1. 记一次 lampiao渗透（Drupal+脏牛提权）

   vulnhub|渗透测试lampiao 题记 最近在打靶机,发现了一个挺有意思的靶机,这里想跟大家分享一下. 环境准备 vulnhub最近出的一台靶机 靶机(https://www.vulnhub.c ...

2. vulnhub靶机之DC6实战（wordpress+nmap提权）

   0x00环境 dc6靶机下载地址:https://download.vulnhub.com/dc/DC-6.zip dc6以nat模式在vmware上打开 kali2019以nat模式启动,ip地址为 ...

3. vulnhub-Lampiao脏牛提权

   准备工作 在vulnhub官网下载lampiao靶机Lampião: 1 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收 ...

4. 脏牛提权CVE-2016-5195

   gcc -pthread dirtyc0w.c -o dirtyc0w 尝试使用gcc -pthread dirtyc0w.c -o dirtyc0w 编译该POC文件 gcc命令是一个编译器套件,可 ...

5. Lampiao（dirtycow）脏牛漏洞复现

   nmap扫描内网80端口发现目标主机 nmap -sP   -p 80 192.168.31.0/24 扫描发现目标主机开放22端口.并且  1898端口开放http服务 御剑扫描目录并访问之后发现存 ...

6. Billu_b0x2内网渗透(多种提权方法)靶场-vulnhub

   个人博客阅读体验更佳 本次来试玩一下vulnhub上的Billu_b0x2,下载地址. 下载下来后是 .ova 格式,建议使用vitualbox进行搭建,vmware可能存在兼容性问题.靶场推荐使用N ...

7. 9.CVE-2016-5195(脏牛)内核提权漏洞分析

   漏洞描述: 漏洞编号:CVE-2016-5195 漏洞名称:脏牛(Dirty COW) 漏洞危害:低权限用户利用该漏洞技术可以在全版本Linux系统上实现本地提权 影响范围:Linux内核>=2 ...

8. 脚本小子学习--vulnhub靶机DC8

   @ 目录 前言 一.环境搭建 二.目标和思路 三.实际操作 1.信息收集 2.getshell 总结 前言 通过一些靶机实战练习,学习使用现有的工具来成为脚本小子. 一.环境搭建 靶机:Linux虚拟 ...

9. vulnhub靶机Os-hackNos-1

   vulnhub靶机Os-hackNos-1 信息搜集 nmap -sP 192.168.114.0/24 找到开放机器192.168.114.140这台机器,再对这台靶机进行端口扫描. 这里对他的端口 ...

随机推荐

1. coredump简介与coredump原因总结

   from:http://www.cnblogs.com/doctorqbw/archive/2011/12/21/2295962.html   千兵卫博士   coredump简介与coredump原 ...

2. C++中的"未定义的行为"

   2.1 位运算 位运算的运算对象是整数类型的,并且把运算对象看成是一个二进制位的集合.运算对象可以是带符号也可以是无符号.如果是带符号且值为负,那么位运算如何处理运算对象的符号位依赖于机器.而且此时的 ...

3. 使用事务操作SQLite数据批量插入，提高数据批量写入速度，源码讲解

   SQLite数据库作为一般单机版软件的数据库,是非常优秀的,我目前单机版的软件产品线基本上全部替换Access作为优选的数据库了,在开发过程中,有时候需要批量写入数据的情况,发现传统的插入数据模式非常 ...

4. 数字字符与金钱RMB之间的转换

   FormatMoney()  函数,直接将一个数字字符串,转化为 万元,并且格式化小数点保留两位   如右->￥(元.角.分) sprintf("%.2f", $value) ...

5. Django-CRM项目学习（八）-客户关系系统整体实现（待完成！）

   注意点:利用stark组件与rbac组件实现客户关系系统 1.需求整理与确认 1.1 客户关系系统整体需求 a

6. DRF项目创建流程(1)

   一 web应用模式 前后端不分离 前后端分离 二 RESTFUL API规范 REST全称是Representational State Transfer,中文意思是表述(编者注:通常译为表征)性状态 ...

7. 第二阶段第八次spring会议

   昨天我对软件进行了植物网站的添加. 今天我将对软件进行宠物信息的添加. 清屏功能 private void button5_Click(object sender, EventArgs e) { te ...

8. Java学习笔记之——封装

   1. 属性和方法放到类中 2. 信息的隐藏 (1) 属性的隐藏 (2) 方法实现的细节隐藏 3. 权限修饰符: 从小到大的顺序:private->默认的(什么都不写)->protected ...

9. Android AES加密报错处理：javax.crypto.IllegalBlockSizeException: error:1e00007b:Cipher functions:OPENSSL_internal:WRONG_FINAL_BLOCK_LENGTH

   一.问题说明 今天写AES加/解密功能的apk,设想是四个控件(测试用的,界面丑这种东西请忽略) 一个编缉框----用于输入要加密的字符串 一个文本框----用于输出加密后的字符串,和加密后点击解密按 ...

10. 进程间通信IPC (InterProcess Communication)

    一.进程间通信的概念 每个进程各自有不同的用户地址空间,任何一个进程的全局变量在另一个进程中都看不到,所以进程之间要交换数据必须通过内核,在内核中开辟一块缓冲区,进程1把数据从用户空间拷到内核缓冲区, ...