Linux提权-脏牛内核漏洞

靶机环境下载地址https://www.vulnhub.com/entry/lampiao-1,249/
环境:攻击机:kali虚拟机192.168.76.132 靶机:ip未知
过程:探针目标-CMS漏洞利用-脚本探针提权漏洞-利用内核提权

Linux提权-脏牛内核漏洞
靶机密码也没有,ip也没有

探针目标

靶机和kali在同网段,所以kali用nmap扫描同网段存活主机和其端口
namp 192.168.76.0/24 扫出一个192.168.76.141的主机

继续扫他的端口
nmap -p1 -65535 192.168.76.141 扫出个80和1898端口

上去看看发现80端口没用,1898有个web,cms是drupal
Linux提权-脏牛内核漏洞

CMS漏洞利用

搜索引擎搜索exp
或msf直接search drupal
Linux提权-脏牛内核漏洞
这里使用这个漏洞
Linux提权-脏牛内核漏洞

Linux提权-脏牛内核漏洞

脚本探针提权漏洞

把漏扫脚本从kali上传到靶机的tmp目录,命名为1.sh
Linux提权-脏牛内核漏洞
msf进入shell,执行漏扫文件。权限不足就chmod +x 1.sh赋权
Linux提权-脏牛内核漏洞
扫描出多个漏洞,这里我们选择CVE-2016-5195(脏牛漏洞,可以借助webshell权限提升)
Linux提权-脏牛内核漏洞

利用内核提权

下载EXP,上传至目标主机
upload /tmp/40837.cpp /tmp/40837.cpp
Linux提权-脏牛内核漏洞

用gcc把.cpp的exp文件编译为exe文件:
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

创建交互会话(因为提权过程有交互,不创建会卡住无法提权成功):
python -c ‘import pty; pty.spawn("/bin/bash")’

运行exp,成功提权

得到flag

在靶机root下的flag中,用cat

上一篇:实战篇01 - 使用 Linux-msf 扫描 metasploitable2 靶机上MySQL服务的空密码


下一篇:Kali Linux安装和基本配置