出品|MS08067實驗室(www.ms08067.com)
本文作者:大方子(Ms08067實驗室核心成員)
Kali: 10.10.13.32
靶機地址:10.10.10.117
先用nmap掃描下靶機
靶機開放了 22 80 111 埠
檢視下靶機的80埠
我們用gobuster對網站的目錄也進行一次爆破
訪問下/manual,得到apache的文件頁面沒有可以利用的點
然後我們在根據頁面上的顯示”IRC is almost working!”
IRC(Internet Relay Chat的縮寫,“因特網中繼聊天”)是一種透過網路的即時聊天方式。其主要用於群體聊天,但同樣也可以用於個人對個人的聊天。IRC使用的伺服器埠有6667(明文傳輸,如irc://irc.freenode.net)、6697(SSL加密傳輸,如ircs://irc.freenode.net:6697)等
我們可以看到IRC監聽的埠為6697和6667,那麼說明我們的nmap探測是不完全的。所以我們對靶機的埠做一次全埠探測
這裡我們看到6697埠是開放,這裡我對6697進一步進行探測
我們搜尋下是否存在相關的EXP
我們嘗試用第一個 後門命令執行
得到shell之後利用python建立一個pty
然後我們通過find搜尋下user.txt
我們進入/home/djmardov/Documents目錄,發現User.txt不能讀取,但是還有一個.backup的檔案,我們讀取下
它給了我們關於steg[Steganography]的提示,然後我們得到了類似密碼的字串:
UPupDOWNdownLRlrBAbaSSss
關於隱寫術的工具資源:
https://0xrick.github.io/lists/stego/
我們之前在網頁上看到一個表情,我們把那個表情圖片下載回來看看裡面是否藏著什麼東西
我們用steghide --info來查下圖片的是否包含隱藏資料,其中需要你輸入剛剛得到的那串密碼。
然後我們提取資料
得到密碼:Kab6h+m+bbp2J:HG
那我們嘗試登陸SSH,拿到FLAG
接下來就是提升ROOT的許可權
這裡我用LinEnum來檢查靶機是否有可以用來提權的點
LinEnum:https://github.com/rebootuser/LinEnum
然後自己的Kali 用 python -m SimpleHTTPServer 開啟HTTP服務
然後在靶機上的/dev/shm用wget下載
然後 bash LinEnum.sh 執行指令碼
在SUID檔案中我們發現這個檔案的日期是在2018.5.16完成的跟其他檔案有所不同它是最新生產的,我們去看看這個檔案
這個檔案似乎記錄這訪問過這個系統的使用者,我們看到最後一行,這個程式在呼叫者/tmp/listusers這個檔案
我們先把這個檔案複製我們的kali中去除錯它
先用把這個二進位制檔案用base64進行轉換,-w0表示不換行輸出
base64 -w0 /usr/bin/viewuser
然後將出現的一大堆資料進行復制
然後我們在自己的kali 建立一個名為userview.b64的檔案並把剛剛得到的一大堆資料複製到裡面去
然後我們在把檔案解碼輸出為一個二進位制檔案
base64 -d viewuser.b64 > viewuser
然後我們用lstrace 對這個檔案進行除錯
ltrace能夠跟蹤程式的庫函式呼叫,它會顯現出哪個庫函式被呼叫
如果自己的kali沒有的話就apt-get install -y ltrace 安裝下
我們可以看到這個二進位制檔案到最後會呼叫/tmp/listusers這個檔案。
因為這個vieruser是root許可權呼叫的,那麼被呼叫的/tmp/listusers也將會root許可權
那麼我們直接編寫個/tmp/listusers檔案,同時要給它chmod +x
因為那個vieruser是監控線上登陸的使用者的,所以它是不會不斷的執行,你可以看到當我們寫好這個檔案並賦予執行許可權的時候 它的擁有者變成了root
然後我們得到root flag
*後記,後來我發現我之前就變成了root的許可權是因為之前別人做完了實驗然沒清理我執行了別人的listusers,所以我就被root了,但是get root的思路就是如上
這裡我重新做了一次實驗,現在是我剛寫完listusers檔案並加上執行許可權
然後我執行viewusers,這裡我們可以看到它呼叫了我們寫的指令碼然後我們得到了root shell
轉載請聯絡作者並註明出處!
Ms08067安全實驗室專注於網路安全知識的普及和培訓。團隊已出版《Web安全攻防:滲透測試實戰指南》,《內網安全攻防:滲透測試實戰指南》,《Python安全攻防:滲透測試實戰指南》,《Java程式碼安全審計(入門篇)》等書籍。
團隊公眾號定期分享關於CTF靶場、內網滲透、APT方面技術乾貨,從零開始、以實戰落地為主,致力於做一個實用的乾貨分享型公眾號。
官方網站:https://www.ms08067.com/
掃描下方二維碼加入實驗室VIP社群
加入後邀請加入內部VIP群,內部微信群永久有效!