靶机下载链接: https://pan.baidu.com/s/1h0uiwvBkX8iXFyMAO23e1A 提取码: 2kjp

一、信息收集

1.靶机发现

（1）靶机lampiao与kali均为NAT模式 ,Kali的 IP为192.168.101.10, 扫描网段用命令nmap -sp192.168.101.0/24，发现靶机ip为192.168.101.107

2.靶机具体信息

（1）使用命令nmap -A （进行综合扫描） 192.168.101.107 -p 0-65535 （看看靶机开放了什么端口）

正在上传…重新上传取消

3.发现1898端口开放http协议，

（1）查看该网站，发现是一个博客网站

（2）用命令dirb扫一下该网站有哪些目录：dirb http://192.168.101.107:1898

（3）进入http://192.168.101.107/robots.txt查看哪些目录和页面不能爬虫

正在上传…重新上传取消

（4）进入/CHANGELOG.txt文件,发现了cms版本号以及更新记录

二、漏洞发现与利用

1.根据该网站cms程序搜索相关漏洞

(1)在kali输入 msfconsole命令，进入到该框架内

(2)先看看可以利用的脚本，输入 search drupal

正在上传…重新上传取消

(3)由上图，我们进入利用的脚本，选择用序号1的那一个：use ；然后查看要设置的参数（show options），使用方法如下：

正在上传…重新上传取消

(4)其他的参数已经配置好了,就差一个RHOSTS和RPORT

先设置一下RHOSTS（目标的地址），输入set RHOSTS 192.168.101.107;

再设置一下RPORT（端口），输入set RPORT1898 ;

(5)参数设置完成后，输入run，执行攻击，成功进入getshell

优化命令执行终端，执行下面命令进入python交互式(注意要下载python环境才能运行):

python3 -c ‘import pty;pty.spawn(“/bin/bash”)’

2.漏洞的利用

(1)进入default目录查看下面的settings.php文件(配置信息文件),看看有没有用户密码可以利用

正在上传…重新上传取消

数据库的配置信息,可以看到有数据库的用户密码

进入home目录下查看有哪些用户: cd /home ; ls

尝试将刚才找出来的用户密码能不能登录,结果ssh远程成功登录

虽然ssh远程登录了,但是该用户为低权限用户

(2)脏牛提权

脏牛提权：cve-2016-5159,使用版本限制：ubuntu内核版本大于 2.6.22 版本、centos7/RHEL7:3.10.0-327.36.3.e17、Centos6/RHEL6:2.6.32-642.6.2.e16

1.查看远程登录的内核版本信息：uname -a

2.远程连接kali，将脚本放进kali

并且将他压缩，压缩命令：tar -czvf dcow.tar.gz CVE-2016-5195-master

3.利用nc命令，将dcow.tar.gz上传到靶机里面

4.查看是否上传了该文件，并且解压

5.查看一下文件，输入make之后多了个dcow文件

6.运行一下dcow文件，已经修改root的密码

7.用改好的root密码，登录root用户

8.拿flag