Ломаем виртуальную машину с VulnHub. Lampião — Сложность : Легко.

Сегодня мы будет разбирать очередную машину от VulnHub под названием Lampião . Автор был краток : получите root доступ , Level: Easy ))) Поехали.

Разведка.

#Определяем IP машины. 
 arp-scan -l 
#Сканируем открытые порты.
 nmap 192.168.56.105 -p- -sV 

Для начало зайдем на 192.168.56.105:80 стандартный веб-сервер. Ничего интересного для нас там не нашлось.

Не расстраиваемся. Идем на 192.168.56.105:1898 , тут уже все веселей. Перед нами сайт на Drupal.

Собираем дальше информацию , пофуззим директории и файлы :

dirsearch -u http://192.168.56.103 -e php,txt,bak,html -x 301,403,503 

Мы узнали версию Drupal 7.54 , нашли настройки, ну и так по мелочи. Как вы понимаете версия на сегодняшний день уже старая. Лезем в инет и ищем exploit.

Exploit,shell,root …

Ну что же, интернет нам услужливо предоставил  DRUPALGEDDON2 уязвимость которая входит в metasploit . Найденная брешь позволяет абсолютно любому незарегистрированному пользователю всего одним запросом выполнять любые команды на целевой системе. Поехали…

 # Будем использовать консольный вариант.   
  msfconsole  
#Выбираем эксплоит
use exploit/unix/webapp/drupal_drupalgeddon2
# IP цели, порт
set rhost 192.168.56.105
set rport 1898

Набираем команду shell , попадаем в командную оболочку. Ну хотелось бы нормальную оболочку tty( tty shell) Запустим ее с помощью питона :

python -c 'import pty; pty.spawn (“/bin/bash”)'

Ну что же мы зашли по www-data пользователем, этот пользователь создается для сервера Apache. Первым делом глянем версию ядра. Потом я посмотрел DB Drupal , нашел двух пользователей:

  1 | tiago | $S$DNZ5o1k/NY7SUgtJvjPqNl40kHKwn4yXy2eroEnOAlpmT0TJ9Sx8 | lampiao@lampiao.com
 2 | Eder  | $S$Dv5orvhi7okjmViImnVPmVgfwJ2U..PNK4E9IT/k7Lqz9GZRb7tY | eder@lampiao.com

К сожалению сбрутить быстренька у меня их не получилось, сложный хеш Drupal7 SHA512. Не стал заморачиваться ( если вдруг у вас выйдет напишите пароли в комментариях ;)))) ) К стат пользователь tiago есть в системе. Вообщем наши возможности в системе ограничены, и полный доступ у нас только к сайту.

Root exploit…

Надо как то повысить привилегии для пользователя www-data, отправляемся на https://www.exploit-db.com . Забиваем в поиске Dirty Cow. Уязвимость Dirty COW (CVE-2016-5195, от англ.dirty + copy-on-write — копирование при записи) — серьезная программная уязвимость в ядре Linux, существующая с 2007 года и исправленная в октябре 2016 года. С её помощью локальный пользователь может повысить свои привилегии. Исправление уязвимости требует обновления ядра. Уязвимость была исправлена в ядрах версий 4.8, 4.7, 4.4 и других. Я выбрал этот exploit :

Качаем на уязвимую машиной , скомпилируем и запускаем:

Вот и все , мы root ))) Успехов