信息收集

主机探测

开了22,80,1898端口

渗透

扫80端口没用

再扫1989端口

有robots.txt

这里看到/?q=node/2有东西

audio.m4a

能听到user:tiago

qrc.png

没啥消息

密码爆破

通过cewl生成社工的密码字典

cewl http://192.168.184.136:1898/ -w pass.txt

九头蛇爆破

hydra -l tiago -P pass.txt ssh://192.168.184.136

另一种登录是通过模版漏洞

msf

可以看到网站是Drupal框架写的

启动msf

使用第二个

这里还不是root权限,和上面通过密码ssh登录的差不多

提权

百度内核漏洞,搜到这里用脏牛提权(漏洞范围：Linux内核 >= 2.6.22)

不过这里可以先探测一波

指针探测

这里使用linux-exploit-suggester.sh进行探测

通过python3简易http服务

wget将`linux-exploit-suggester.sh传到目标机/tmp下

chmod +x linux-exploit-suggester.sh

./linux-exploit-suggester.sh

这里是比较典型的脏牛提权

寻找脏牛exp并下载

传到目标机/tmp目录下

编译cpp文件

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil

• -Wall 一般使用该选项，允许发出GCC能够提供的所有有用的警告

• -pedantic 允许发出ANSI/ISO C标准所列出的所有警告

• -O2编译器的优化选项的4个级别，-O0表示没有优化,-O1为缺省值，-O3优化级别最高

• -std=c++11就是用按C++2011标准来编译的

• -pthread 在Linux中要用到多线程时，需要链接pthread库

• -o dcow gcc生成的目标文件,名字为dcow

执行gcc编译可执行文件，可直接提权。

给上权限,运行提权

root密码被修改了

提权成功

总结

1.找到/?q=node/2下的文件

2.通过cewl爬虫网站,获得社工生成的密码字典

3.通过hydra爆破ssh密码

4.可以通过msf找Drupal模版漏洞,从而获得www-data权限

5.脏牛提权