vulnhub-靶机Lampiao

目标信息：攻击机IP地址:192.1681.10

Lampiao靶机IP地址：192.168.1.12

DC-1靶机IP地址:192.168.1.7

目的：获取靶机root权限和靶机设置的所有flag。

知识点：nmap

robots.txt

drupal7 cms远程代码执行漏洞(CVE-2018-7600)

shell交互

脏牛提权

Python创建简单的HTTP服务

Lampiao



在1898拿到一个站。常规翻看网站的robots.txt文件。



可以看到泄露了很多文件和路径。在/CHANGELOG.txt文件里可以看到是drupal7,里面是网站更新的日志信息。拿到CMS和版本可以搜索一下是否该版本有漏洞。这也是常规思路，如果msf收录了该版本的漏洞那么直接可以去kali上的msf进行search。

drupal7确实存在漏洞，cve编号CVE-2018-7600，这个漏洞的影响范围包括了Drupal 6.x，7.x，8.x版本。

打开msf，搜索cve编号



show options设置参数，这里因为把站建在1898端口，所以需要把默认端口设置成1898。

成功拿到shell，用python一句话反弹一个标准shell。



查看几个鼓励性的文件无果。查看用户名



拿到用户名，接着寻找密码。在/var/www/html/sites/default/settings.php中找到了数据库的账号密码。

'username' => 'drupaluser',
'password' => 'Virgulino',

数据库user表第一个用户就是tiago，密码解密不了。



抱着试下的心态拿数据库的密码去ssh主机，因为很多人都是一个密码通用所以账号，事实也是这样，数据库密码和主机密码一样，顺利连接上主机。



靶机最终的目的是拿到root权限下的flag。接着提权。

查看内核信息，内核是版本是4.4.0



这里可以使用脏牛提权。使用条件是Linux内核b2.6.22 < 3.9

利用40847.cpp



将脚本复制到kali，然后使用Python创建简单的HTTP服务



靶机获取在8848端口下的40847.cpp



执行脚本，可以直接提权



ssh连接靶机的root