汚い牛フラグを取得する権利を言及するvulnhubドローンランピアオのgetshell

はじめに：

drupal7 CMSリモートコードが実行される脆弱性（CVE-2018から7600）及びウシ汚い言及権利を含む範囲内のVulnhub。

ドローンダウンロード：https://mega.nz/#!aG4AAaDB!CBLRRYQsAhTOyPJqyjC0Blr-weMH9QMdYbPfMj0LGeM

0x01の情報収集

開き、仮想マシンがログインするためのユーザーパスワードを入力する最初のステップであるため、IPアドレスがわかりません。

 

 だから我々は、ネットワークに、あなたがnmapのスキャンを使用することができるため、そのIPを取得する必要があり、私はNATモードで仮想マシンをセットアップした後、NATモードのネットワークセグメントを見てみましょう

 

 、その後、nmapのスキャンセグメントを使用するセグメント192.168.106.0/24さCでした

 

クリアIPは192.168.106.130で、それは全体のポートをスキャン

 

 

 ポート1898にアクセスし、その後、役に立たない静的なページを発見する80個のポートを訪問し、そこにWebページ

 

 アクセスのrobots.txt

 

 PHPのディレクトリとは、多くのTXT漏れは、あなたが直接TXTファイルを読み込むことができることを見出しました

ソースを表示、画像リンク内の任意のポイント

 

 

 

 漏洩したカタログは、ディレクトリ内のファイルを読み込みますが、これだけ下にあるディレクトリ、およびフルCSSは今それを脇に置き、ファイルをPNG、JS、漏洩しました。

掃引し、ドレインディレクトリスキャンする前に、私はウェブはdrupal7のCMSで書かれている知っているGoogleのプラグインを使用しwappalyzer

 

 また、オペレーティングシステム、Webサーバ、バックエンドの言語を知っています。

ただ、また、CMSのバージョンを破っただけでなく、より具体的な内部のファイルを見つけ、漏洩したtxtファイルを見てみましょう

 

 あまりにも多くを意味するもので、CMS drupal7この抜け穴を利用することを恐れません

見つかったCMSの脆弱性により、リモートでコードが実行される脆弱性が存在しているdrupal7 Baiduは、このMSFのEXPでそれを見に行くと、使用しています。

 

0x02のdrupal7 CMSリモートでコードが実行される脆弱性（CVE-2018から7600）の使用

MSFを入力し、[検索] CVE-2018から7600を検索

 

 そして、その後、使用前にルーチンの一連の操作、およびオプションを表示し、設定し、最後の実行

 

 ここでのIPアドレスとポートに関する設定、ポートは1898です

 

 show targets发现有很多版本，不知道选哪一个，先默认吧，直接run

 

 直接反弹了shell，发现是www-data权限，这个权限是相当于访客权限，getsystem不行。

如果不熟悉meterpreter命令交互，那么可以在根目录下写入一句话木马，然后，利用菜刀连接。

我们查看网站根目录下面的/sites/default/settings.php文件，看其设置的配置信息

 

 我们看到了敏感信息，数据库的用户和密码

 

 我们用mysql登录进去查一下这个数据库的user表

先从meterpreter进入shell交互命令，也就是目标机系统的操作命令。

 

 但是mysql好像进不去，这个shell是简易版的

 

 然后参照别人的方式用python获取标准shell

python -c 'import pty; pty.spawn("/bin/bash")'

 

 

 

 成功进来了，查看users的用户和密码两个字段。

 

 第一个用户就是tiago，密码拿去在线md5一下，解密不了。

最后试来试去，想到了还有个ssh没用到，这会不会是ssh的登录账号和密码，再去看看那个setting.php文件，发现里面就Virgulino一个密码，那么想到用户应该是用的这一个通用密码。

试了试，发现登录上去了，但是权限还不是system的。

 

0x03脏牛提权 

查看一下内核版本，发现是ubuntu 16年的

 

 在网上去搜索一下，试了很多17年的，但是不行，再看看，发现一个16年内核版本的通杀提权，叫做脏牛提权。

 

 去搜索一下这个漏洞，这个提权方法叫做脏牛提权，那么他的提权脚本关键字是dirty。

再kali里面搜索，或者直接用github上面的脚本，然后复制到目标机中。

 

 网上搜索得知是这一个cpp的脚本。

在目标机上创建一个40847.cpp脚本，然后将kali里面的脏牛cpp的脚本复制过来。

 

 

 

 然后进行编译运行：

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil

 

执行成功，root用户需要用dirtyCowFun密码登录服务器。

ssh重新连接，用户为root，密码为dirtyCowFun

 

 成功提权获得flag。