Сегодня мы будет разбирать очередную машину от VulnHub под названием Lampião . Автор был краток : получите root доступ , Level: Easy ))) Поехали.
Разведка.
#Определяем IP машины. arp-scan -l #Сканируем открытые порты. nmap 192.168.56.105 -p- -sV
Для начало зайдем на 192.168.56.105:80 стандартный веб-сервер. Ничего интересного для нас там не нашлось.
Не расстраиваемся. Идем на 192.168.56.105:1898 , тут уже все веселей. Перед нами сайт на Drupal.
Собираем дальше информацию , пофуззим директории и файлы :
dirsearch -u http://192.168.56.103 -e php,txt,bak,html -x 301,403,503
Мы узнали версию Drupal 7.54 , нашли настройки, ну и так по мелочи. Как вы понимаете версия на сегодняшний день уже старая. Лезем в инет и ищем exploit.
Exploit,shell,root …
Ну что же, интернет нам услужливо предоставил DRUPALGEDDON2 уязвимость которая входит в metasploit . Найденная брешь позволяет абсолютно любому незарегистрированному пользователю всего одним запросом выполнять любые команды на целевой системе. Поехали…
# Будем использовать консольный вариант. msfconsole
#Выбираем эксплоит use exploit/unix/webapp/drupal_drupalgeddon2 # IP цели, порт set rhost 192.168.56.105 set rport 1898
Набираем команду shell , попадаем в командную оболочку. Ну хотелось бы нормальную оболочку tty( tty shell) Запустим ее с помощью питона :
python -c 'import pty; pty.spawn (“/bin/bash”)'
Ну что же мы зашли по www-data пользователем, этот пользователь создается для сервера Apache. Первым делом глянем версию ядра. Потом я посмотрел DB Drupal , нашел двух пользователей:
1 | tiago | $S$DNZ5o1k/NY7SUgtJvjPqNl40kHKwn4yXy2eroEnOAlpmT0TJ9Sx8 | lampiao@lampiao.com 2 | Eder | $S$Dv5orvhi7okjmViImnVPmVgfwJ2U..PNK4E9IT/k7Lqz9GZRb7tY | eder@lampiao.com
К сожалению сбрутить быстренька у меня их не получилось, сложный хеш Drupal7 SHA512. Не стал заморачиваться ( если вдруг у вас выйдет напишите пароли в комментариях ;)))) ) К стат пользователь tiago есть в системе. Вообщем наши возможности в системе ограничены, и полный доступ у нас только к сайту.
Root exploit…
Надо как то повысить привилегии для пользователя www-data, отправляемся на https://www.exploit-db.com . Забиваем в поиске Dirty Cow. Уязвимость Dirty COW (CVE-2016-5195, от англ.dirty + copy-on-write — копирование при записи) — серьезная программная уязвимость в ядре Linux, существующая с 2007 года и исправленная в октябре 2016 года. С её помощью локальный пользователь может повысить свои привилегии. Исправление уязвимости требует обновления ядра. Уязвимость была исправлена в ядрах версий 4.8, 4.7, 4.4 и других. Я выбрал этот exploit :
Качаем на уязвимую машиной , скомпилируем и запускаем:
Вот и все , мы root ))) Успехов