实战打靶集锦-018-decoy
提示:本文記錄了博主的一次打靶過程
目錄
- 1. 主機發(fā)現(xiàn)
- 2. 端口掃描
- 3. 服務枚舉
- 4. 服務探查
- 4.1 瀏覽器探查
- 5. 突破邊界
- 6. 提權
- 6.1 rbash繞過
- 6.2 枚舉系統(tǒng)信息
- 6.3 枚舉定時任務
- 6.4 枚舉可執(zhí)行文件
- 7. 獲取flag
1. 主機發(fā)現(xiàn)
目前只知道目標靶機在65.xx網(wǎng)段,通過如下的命令,看看這個網(wǎng)段上在線的主機。
$ nmap -sP 192.168.65.0/24
鎖定目標靶機地址為192.168.65.138。
2. 端口掃描
使用下面的命令,對目標靶機進行全端口掃描。
$ sudo nmap -p- 192.168.65.138
只開了22端口和80端口。
3. 服務枚舉
接下來,使用下面的命令枚舉一下開放的端口上運行了什么服務。
$ sudo nmap -p22,80 -A -sV -sT 192.168.65.138
apache的2.4.38版本。
4. 服務探查
4.1 瀏覽器探查
先用瀏覽器訪問一下看看。
是個非常簡單的網(wǎng)頁,首先下載這個文件下來看看里面有些啥,然后枚舉一下目錄。
呵,這個文件比較有意思,里面有shadow,不過加密了,暫時不知道密碼。先枚舉一下站點的目錄。
枚舉出來的都是403,看來還是得從zip文件下手了,通過fcrackzip爆破一下。
秒爆啊,密碼是manuel,手工解壓試試看。
解壓成功,進去逐個看看里面的內(nèi)容,最有意思的是root用戶和一個名為296640a3b825115a47b68fc44501c828的用戶,都具有shell權限,并且都在shadow里面保存了密碼信息,如下圖。
按照之前的經(jīng)驗,密碼都是用的SHA-512,爆破的難度可想而知,還是試一下吧,先用john。
爆了半天沒結果,果斷終止。再試試hashcat。先把兩個hash內(nèi)容放到myshadow文件中。
很快就結束了,但是也看不出所以然。還是看看shadow文件和found1.txt文件吧,如果爆破成功的話,hash會從shadow中刪除,found1.txt中會記錄爆破出來的密碼。
確實爆出了一個密碼,對比前面寫入myshadow文件的內(nèi)容,我們可以知道爆出的是296640a3b825115a47b68fc44501c828用戶的密碼server。猛然意識到,其實前面我們用john的時候也爆破出來了,因為靶機的hostname也是296640a3b825115a47b68fc44501c828,還以為顯示的內(nèi)容代表的server名稱是296640a3b825115a47b68fc44501c828呢(如下圖)。
5. 突破邊界
直接用爆出的密碼登錄一下看看吧。
$ ssh 296640a3b825115a47b68fc44501c828@192.168.65.138
成功突破邊界。
6. 提權
進一步試一下。
嗯,這是一個rbash,即一個受限制的shell,得想辦法突破一下。
6.1 rbash繞過
這里重點參照了CSDN上面的一篇文章(https://blog.csdn.net/weixin_43705814/article/details/111879362)。嘗試了各種方法,最終通過下面的方式成功進行繞過。
$ export PATH=/usr/bin:/usr/sbin:/sbin:/bin
確實成功地繞過了rbash的限制。
6.2 枚舉系統(tǒng)信息
從輸出內(nèi)容可以看出,目標靶機是64位的debian 10,內(nèi)核版本為4.19.118-2。
6.3 枚舉定時任務
沒有可以利用的定時任務。
6.4 枚舉可執(zhí)行文件
先用sudo -l看一下。
沒有我們感興趣的輸出,還是枚舉一下SUID的可執(zhí)行文件吧。
輸出結果竟然為空,再用下面的方法試試看。
又出現(xiàn)了我們熟悉的pkexec,試一下吧,按照慣例,先看版本信息。
直接下載EXP運行一下再說。
將pkexec-exploit文件夾下面的CVE-2021-4034.py文件上傳到靶機。然后在靶機上直接運行一下。
$ chmod 775 CVE-2021-4034.py $ python3 CVE-2021-4034.py
成功搞定,進一步驗證一下。
確實提權成功。
7. 獲取flag
總結
以上是生活随笔為你收集整理的实战打靶集锦-018-decoy的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 智能汽车 | 整车控制器(VCU)系统框
- 下一篇: 为Jpanel设置背景图片