lampiao靶场

今天拿到一个靶场，来试试看

1. 靶场搭建

VMware直接打开，然后启动靶机

注意：网卡设置为NAT模式

2.主机及端口探测

攻击机（kali）：192.168.1.24

netdiscover -i eth0 -r 192.168.1.0/24
1

靶机IP：192.168.1.26

masscan -p 1-65535 192.168.1.26 --rate=10000 
1

也可以使用nmap探测：

nmap -sS 192.168.1.0/24
nmap -sV 192.168.1.26 -p 1-65535
1
2

靶机开启22、80、1898三个端口，依次测试

3.端口测试

（1）22端口，尝试爆破

hydra -L /home/kali/username.txt -P /home/kali/passwd.txt ssh://192.168.1.26
1

没有爆破出来

（2）80端口，浏览器访问

什么都没有

（3）1898端口，浏览器访问

存在登录页面，测试爆破登录

4.目录扫描

dirsearch -u http://192.168.1.26:1898/
1

成功响应的页面很多，查看试试

5.CMS漏洞测试

在1898页面的左下角发现，使用的是drupal框架

搜索发现，drupal CMS版本可以利用CHANGELOG.txt查看（扫描目录文件也发现了）
http://192.168.1.26:1898/CHANGELOG.txt

更新了好几个版本，目前是2017年更新到了Drupal 7.54
百度，存在CVE-2018-7600漏洞。
思路一：POC脚本验证
思路二：msf

测试发现使用drupal_drupalgeddon2攻击成功（可以根据发布的时间来选择模块测试）

成功进入靶机

6.靶机内容探测

查看内核版本，搜索 相关的提权漏洞

7.尝试数据库连接

在sites目录的settings.php文件中有mysql连接的配置信息



尝试登陆

成功进入了，但是没有回显到攻击机

解决办法：使用pty模块创建一个终端 实现交互

python -c ‘import pty;pty.spawn(“/bin/bash”)’
1

密码被加密

8.内核提权（脏牛提权）

攻击机开启一个临时的http服务将文件映射到公网上，可以让目标机下载需要的提权文件（也可以在连接后 直接尝试upload）

靶机获到脏牛提权文件

对脏牛的文件进行编译执行：

g++ -O2 -std=c++11 -pthread -o dirty 40847.cpp -lutil

1
2