Lampiao

靶机
字数统计: 467字   |   阅读时长≈ 1分钟

0x00 信息收集

老生常谈

image-20200301164232495

image-20200301164422065

1898看一下喽 用的google插件 看到了cms是Drupal7,具体是什么小版本呢?接下来看

image-20200301164729523

常规思路 要扫描的 这里不展示了 看下防爬 有个日志文件 最后一次更新小版本54

这个是RCE的 CVE编号CVE-2018-7600 poc构造附上 https://paper.seebug.org/567/

image-20200301165005159

image-20200301165045429

msf启动 search到了drupal 就你了四号种子选手

image-20200301165434860

0x01 获取会话

image-20200301165628660

由于我们获取的shell并不是一个具有完整交互的shell,对于已经安装了python的系统,我们可以使用python提供的pty模块,只需要一行脚本就可以创建一个原生的终端,命令如下:python -c 'import pty; pty.spawn("/bin/bash")'

image-20200301165741613

0x02 寻找突破

html路径下的四个文件 传回来查看

  1. qrc.png:一个二维码,扫出来的结果是 Try harger! muahuahuahua,被作者鼓励了。。
  2. audio.m4a:提示为user tiago,说明要先找到用户tiago的密码
  3. uizGonzaga-LampiaoFalou.mp3:一首音乐,丢入隐写工具没发现什么异常
  4. lampiao.jpg:一张牛仔的图片,丢入binwlak中未发现有什么隐写

var/www/html/sites/default目录下找到配置文件settings.php,发现敏感信息,tiago以及密码,很有可能就是其系统用户tiago的密码

image-20200301170402837

0x03 获取普通权限

其实root加数据库密码也上去了

image-20200301170722270

image-20200301170854563

翻来覆去怎么也没折腾到主机root权限 看下内核吧 说不定能脏牛呢

image-20200301171113982

说啥来啥 哈哈

0x03 dirty cow提权

exploit-db给了exp 🔗 https://www.exploit-db.com/exploits/40847

我用的msf里的

image-20200301173935106

image-20200301173909301

python开个http 靶机wget下载

image-20200301174353272

编译一下 g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil

./40847

执行成功,root用户需要用dirtyCowFun密码登录服务器。

ssh重新连接,用户为root,密码为dirtyCowFun

image-20200301174535764

0x04 拿到flag

image-20200301174904144

打赏
  • 版权声明: 本博客所有文章除特别声明外,均采用 Apache License 2.0 许可协议。转载请注明出处!
  • © 2015-2020 Loki
  • Powered by Hexo Theme Ayer
  • PV: UV:

请我喝杯咖啡吧~

支付宝
微信