靶机下载地址:戳我

Would you like to keep hacking in your own lab?

Try this brand new vulnerable machine! “Lampião 1”.

Get root!

Level: Easy

目标,获得root权限。

0x00 信息收集

使用kali的fping命令探测存活主机,得到该靶机的IP为192.168.187.148。

使用nmap探测端口的开放情况:nmap -sS -p 1-65535 -v 192.168.187.148

-sS    TCP SYN扫描    nmap -sS 192.168.187.148  
-P     指定端口扫描   nmap -sS -P 1-65535 192.168.187.148
-V     详细信息       nmap -V -sS 192.168.187.148

还行,只有22(ssh)、80和1898。访问下80端口,是一个振奋人心的字符串画,除此以外未挖掘出任何信息。

访问1898端口,页面尾部有Powered by Drupal,通过Wappalyzer插件可以知道是Drupal 7,感觉能从这个页面进行深入渗透^^

0x01 获取权限

页面中的两篇文章的相对路径分别是?q=node/1/?q=node/3,如果修改成2会来到隐藏页面:

下载这两个文件。audio.m4a播放可得到信息“user tiago”。扫描qrc.png可得到信息“Try harder! muahuahua”,看了下exif和文件尾部这些的,没有其他信息了…。

使用用户名tiago爆破ssh,字典使用cewl工具,通过爬取网站并提取独立的单词保存为字典:

cewl http://192.168.187.148:1898/ -w password

得到ssh密码为Virgulino:

登入ssh:

0x02 提升权限

试了下sudo -i 不好使:

tiago is not in the sudoers file.  This incident will be reported.

老规矩看下uname -a

Linux lampiao 4.4.0-31-generic #50~14.04.1-Ubuntu SMP Wed Jul 13 01:06:37 UTC 2016 i686 athlon i686 GNU/Linux

利用linux-exploit-suggester找到这个版本存在的漏洞:

使用脏牛提权:

/usr/share/exploitdb/exploits/lnux/local/40847.cpp

编译:

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

使用root账户登录^^密码已经改为dirtyCowFun