出品|MS08067實驗室(www.ms08067.com)
本文作者:大方子(Ms08067實驗室核心成員)
Kali: 10.10.13.32
靶機地址:10.10.10.117
先用nmap掃描下靶機
靶機開放了 22 80 111 埠
查看下靶機的80埠
我們用gobuster對網站的目錄也進行一次爆破
訪問下/manual,得到apache的檔案頁面沒有可以利用的點
然后我們在根據頁面上的顯示”IRC is almost working!”
IRC(Internet Relay Chat的縮寫,“因特網中繼聊天”)是一種透過網路的即時聊天方式,其主要用于群體聊天,但同樣也可以用于個人對個人的聊天,IRC使用的服務器埠有6667(明文傳輸,如irc://irc.freenode.net)、6697(SSL加密傳輸,如ircs://irc.freenode.net:6697)等
我們可以看到IRC監聽的埠為6697和6667,那么說明我們的nmap探測是不完全的,所以我們對靶機的埠做一次全埠探測
這里我們看到6697埠是開放,這里我對6697進一步進行探測
我們搜索下是否存在相關的EXP
我們嘗試用第一個 后門命令執行
得到shell之后利用python建立一個pty
然后我們通過find搜索下user.txt
我們進入/home/djmardov/Documents目錄,發現User.txt不能讀取,但是還有一個.backup的檔案,我們讀取下
它給了我們關于steg[Steganography]的提示,然后我們得到了類似密碼的字串:
UPupDOWNdownLRlrBAbaSSss
關于隱寫術的工具資源:
https://0xrick.github.io/lists/stego/
我們之前在網頁上看到一個表情,我們把那個表情圖片下載回來看看里面是否藏著什么東西
我們用steghide --info來查下圖片的是否包含隱藏資料,其中需要你輸入剛剛得到的那串密碼,
然后我們提取資料
得到密碼:Kab6h+m+bbp2J:HG
那我們嘗試登陸SSH,拿到FLAG
接下來就是提升ROOT的權限
這里我用LinEnum來檢查靶機是否有可以用來提權的點
LinEnum:https://github.com/rebootuser/LinEnum
然后自己的Kali 用 python -m SimpleHTTPServer 開啟HTTP服務
然后在靶機上的/dev/shm用wget下載
然后 bash LinEnum.sh 執行腳本
在SUID檔案中我們發現這個檔案的日期是在2018.5.16完成的跟其他檔案有所不同它是最新生產的,我們去看看這個檔案
這個檔案似乎記錄這訪問過這個系統的用戶,我們看到最后一行,這個程式在呼叫者/tmp/listusers這個檔案
我們先把這個檔案復制我們的kali中去除錯它
先用把這個二進制檔案用base64進行轉換,-w0表示不換行輸出
base64 -w0 /usr/bin/viewuser
然后將出現的一大堆資料進行復制
然后我們在自己的kali 創建一個名為userview.b64的檔案并把剛剛得到的一大堆資料復制到里面去
然后我們在把檔案解碼輸出為一個二進制檔案
base64 -d viewuser.b64 > viewuser
然后我們用lstrace 對這個檔案進行除錯
ltrace能夠跟蹤行程的庫函式呼叫,它會顯現出哪個庫函式被呼叫
如果自己的kali沒有的話就apt-get install -y ltrace 安裝下
我們可以看到這個二進制檔案到最后會呼叫/tmp/listusers這個檔案,
因為這個vieruser是root權限呼叫的,那么被呼叫的/tmp/listusers也將會root權限
那么我們直接撰寫個/tmp/listusers檔案,同時要給它chmod +x
因為那個vieruser是監控在線登陸的用戶的,所以它是不會不斷的執行,你可以看到當我們寫好這個檔案并賦予執行權限的時候 它的擁有者變成了root
然后我們得到root flag
*后記,后來我發現我之前就變成了root的權限是因為之前別人做完了實驗然沒清理我執行了別人的listusers,所以我就被root了,但是get root的思路就是如上
這里我重新做了一次實驗,現在是我剛寫完listusers檔案并加上執行權限
然后我運行viewusers,這里我們可以看到它呼叫了我們寫的腳本然后我們得到了root shell
?
?
?
轉載請聯系作者并注明出處!
Ms08067安全實驗室專注于網路安全知識的普及和培訓,團隊已出版《Web安全攻防:滲透測驗實戰指南》,《內網安全攻防:滲透測驗實戰指南》,《Python安全攻防:滲透測驗實戰指南》,《Java代碼安全審計(入門篇)》等書籍,
團隊公眾號定期分享關于CTF靶場、內網滲透、APT方面技術干貨,從零開始、以實戰落地為主,致力于做一個實用的干貨分享型公眾號,
官方網站:https://www.ms08067.com/
掃描下方二維碼加入實驗室VIP社區
加入后邀請加入內部VIP群,內部微信群永久有效!
?
?
?
?
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/262818.html
標籤:其他