**
HackTheBox-Linux-Dab-Walkthrough
**
靶機地址:https://www.hackthebox.eu/home/machines/profile/150
靶機難度:中級(0.0/10)
靶機發布日期:2019年1月29日
靶機描述:
Dab is a challenging machine, that features an interesting enumeration and exploitation path. It teaches techniques and concepts that are useful to know when assessing Web and Linux environments.
作者:大餘
時間:2020-06-15
請注意:對於所有這些計算機,我是通過平臺授權允許情況進行滲透的。我將使用Kali Linux作爲解決該HTB的攻擊者機器。這裏使用的技術僅用於學習教育目的,如果列出的技術用於其他任何目標,我概不負責。
一、信息收集
可以看到靶機的IP是10.10.10.86…
Nmap顯示FTP和SSH開放着,Nginx Web服務器也存在,並在端口80和8080上運行着…
FTP匿名訪問有個文件,但是沒方向,沒管了…
訪問80頁面…
利用burpsuit攔截分析,使用最常見的憑證admin:admin不起作用,攔截可看到Error: Login failed…
命令:wfuzz -c --hl=18 -w /usr/share/seclists/Passwords/darkweb2017-top1000.txt -d 'username=admin&password=FUZZ&submit=Login' http://10.10.10.86/login
這裏利用wfuzz進行模糊枚舉…爆破發現了密匙…
進去以後發現一些信息,但是研究了一會沒有頭緒…
訪問8080的web,發現未填寫cookie正確的密碼,拒絕訪問提示…
繼續bp分析…發現了一串cookie值,按照提示,是將cookie轉換成password?
我嘗試按照提示修改下cookie爲password,發現了password authentication cookie incorrec…只需要獲取cookie的正確值就可以進入…
繼續…
命令:wfuzz -u http://10.10.10.86:8080/ -w /usr/share/seclists/Passwords/darkweb2017-top1000.txt -b password=FUZZ
利用wfuzz繼續模糊爆破,發現了一大堆324…過濾下
命令:wfuzz -u http://10.10.10.86:8080/ -w /usr/share/seclists/Passwords/darkweb2017-top1000.txt -b password=FUZZ --hh 324
過濾後,發現了password=secret返回540有效…
修改後跳轉到了該頁面…和80web頁面類似…
輸入1 1後,測試知道這是一個帶有提供TCP套接字測試的表單網站…
測試了TCP已開放得端口,返回了錯誤…
80也是400錯誤…
命令:wfuzz -c -z range,1-65535 -u 'http://10.10.10.86:8080/socket?port=FUZZ&cmd=abc' -H "Cookie: password=secret" --hc=500
繼續利用wfuzz模糊查找下所有端口…
方便分析,繼續利用bp攔截,在測試11211模糊得到得端口後,發現是有效得…版本信息獲得了
https://lzone.de/cheat-sheet/memcached
memcached是一個簡單的,高度可擴展的,基於密鑰的高速緩存,可在可用或專用RAM可供應用程序快速訪問的任何位置存儲數據和對象,而無需經過解析層或磁盤I/O…
google搜索到了類似的文章,發現了表格單…
測試後,發現stats slabs輸出表單ID有16和26…
繼續檢查stats items輸出表單發現了16-0 26-0…意思每個16-0和26-0組裏都有一組數據…
對於每組數據,我利用stats cachedump輸出16-0和26-0組表單的信息…在26-0中發現了26-0每個組都存在users信息…
那我利用get users輸出了所有26-0組的users信息,發現這些都是用戶名+密碼hash值…
把中間一些數值過濾…
利用jq排列…方便爆破…
通過註釋掉空格、“”、,等符號後…
利用john和hydra成功獲得了shh的用戶名和密碼…
登錄後獲得了user_flag信息…和genevieve用戶權限…
sudo嘗試的提權,讓我們繼續努力…
LinEnum枚舉靶機信息後,SUID中myexec二進制存在問題…
執行需要輸入密碼…
將文件傳輸到本地kali進行分析…
利用IDA或者R2發現了密碼??
嘗試後成功執行…
利用ldd顯示出了列表動態依賴的內容…看到libseclogin.so
還有輸出的內容seclogin() called
可以替換libseclogin.so爲另一個文件並鏈接到它,然後二進制文件將以root身份執行…獲得權限
命令:
#include <stdio.h>
void seclogin() {
setgid(0);
setuid(0);
system("/bin/bash");
}
gcc -fPIC -shared -o libseclogin.so exploit.c
建立bash的shell,進行gcc編譯…覆蓋libseclogin.so…
然後要在/etc/ld.so.conf.d下創建一個.conf文件,並把我們的EXP文件路徑寫入…
利用ldconfig調用動態鏈接…將myexec的libseclogin.so調用到/dev/shm目錄下即可…
然後重新執行myexec後,或得了root權限,並獲得了user_flag信息…
wfuzz模糊枚舉–john和hydra爆破–SUID二進制文件分析提權
由於我們已經成功得到root權限查看user和root.txt,因此完成這臺高級的靶機,希望你們喜歡這臺機器,請繼續關注大餘後期會有更多具有挑戰性的機器,一起練習學習。
如果你有其他的方法,歡迎留言。要是有寫錯了的地方,請你一定要告訴我。要是你覺得這篇博客寫的還不錯,歡迎分享給身邊的人。
