準備:
攻擊機:虛擬機器kali、本機win10。
靶機:looz: 1,下載地址:https://download.vulnhub.com/looz/Looz.zip,下載後直接vbox開啟即可。
知識點:可疑檔案提權、hydra爆破、dns解析、polkit漏洞提權(CVE-2021-4034)。
資訊收集:
透過nmap掃描下網段內的存活主機地址,確定下靶機的地址:nmap -sn 192.168.110.0/24,獲得靶機地址:192.168.110.67。
掃描下埠對應的服務:nmap -T4 -sV -p- -A 192.168.110.67,顯示開放了22、80、3306、8081埠,開啟了ssh、http、mysql服務。
訪問下http服務:http://192.168.110.67/,並檢查原始碼資訊,發現一組賬戶資訊:jphn/y0uC@n'tbr3akIT,說是wp的登入賬戶。
目錄掃描:
使用dirmap對:http://192.168.110.67/和http://192.168.110.67:8081進行目錄掃描,發現了一個登入地址:http://192.168.110.67:8081/wp-login.php。
DNS解析:
使用獲得賬戶資訊:jphn/y0uC@n'tbr3akIT在http://192.168.110.67:8081/wp-login.php進行登入,但是發現跳轉到了wp.looz.com進行了報錯。
因此我們需要新增dns解析。win:開啟C:\Windows\System32\drivers\etc\hosts檔案,新增:192.168.110.67 wp.looz.com,新增之後使用賬戶資訊:jphn/y0uC@n'tbr3akIT在http://192.168.110.67:8081/wp-login.php,成功登入到管理介面。
獲取shell:
在管理介面中發現了另一個管理員賬戶:gandalf,那就使用hydra進行此賬戶的密碼破解,時間比較久,差不多兩個小時。最終成功獲得密碼:highschoolmusical。
使用獲得賬戶和密碼資訊:gandalf/highschoolmusical進行ssh登入,成功獲得shell許可權。
在alatar目錄下發現了user.txt檔案,讀取該檔案資訊成功獲得flag值並且在該目錄下的Private目錄中找到了可疑檔案shell_testv1.0。
可疑檔案提權:
在查詢第一個flag的時候發現了一個可疑檔案:/home/alatar/Private/shell_testv1.0,顯示當前賬戶可執行且具有root許可權,直接執行該指令碼直接獲得root許可權並在/root目錄下發現root.txt檔案並讀取flag值。一般是透過:find / -perm -4000 -type f 2>/dev/null來查詢可疑檔案的。
polkit漏洞提權:
那我們檢視當前使用者下具有root許可權的可執行檔案都有哪些,命令:find / -perm -4000 -type f 2>/dev/null,發現了:/usr/lib/policykit-1/polkit-agent-helper-1,那可能存在polkit漏洞。經驗證這裡的polkit漏洞是CVE-2021-4034。上傳該漏洞的exp直接執行即可獲得root許可權。exp連結:https://pan.baidu.com/s/1TEfF3J2v1TOxeA2Jg_XMSg,提取碼:upfn。