iT邦幫忙

2023 iThome 鐵人賽

DAY 14
0

防雷頁


























可能的遺漏

  • 值得一做的特別靶機, 很多非優先檢查項目或者要思路轉換, 需要更多的細心和耐心試錯.
    • 網站服務可能有 vhost.
    • 檢查是什麼知名的 CMS.
    • 已知 exploit 和 wordlist 可能不管用.
    • 靶機有給提示, 是有用的.
    • 取得帳號密碼都是有用到的.
    • 考驗 linux 基本操作.
  • 檢查 sudo 的相關權限.

摘要

  • 值得一做的特別靶機, 很多非優先檢查項目或者要思路轉換, 需要更多的細心和耐心試錯.
    • 網站服務可能有 vhost, 要手動加入 hosts.
    • 檢查是什麼知名的 CMS, 是 wordpress.
    • 已知 exploit 和 wordlist 可能不管用, 例如 rockyou.txt
    • 靶機有給提示, 是有用的, cewl.
    • 取得帳號密碼都是有用到的.
      • 一組可以 ssh 登入, 另外一組只能於機器內部切換.
    • 考驗 linux 基本操作.
      • 拿到 shell 之後, 有一些環境問題要處理.
  • 使用 sudo -l, 檢查 sudo 的相關權限, 發現可以執行 sudo git, 利用其提權.

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務(old log)
PORT     STATE SERVICE VERSION
80/tcp   open  http    Apache httpd 2.4.10 ((Debian))
|_http-server-header: Apache/2.4.10 (Debian)
|_http-title: Did not follow redirect to http://dc-2/
|_https-redirect: ERROR: Script execution failed (use -d to debug)
7744/tcp open  ssh     OpenSSH 6.7p1 Debian 5+deb8u7 (protocol 2.0)
| ssh-hostkey:
|   1024 52:51:7b:6e:70:a4:33:7a:d2:4b:e1:0b:5a:0f:9e:d7 (DSA)
|   2048 59:11:d8:af:38:51:8f:41:a7:44:b3:28:03:80:99:42 (RSA)
|   256 df:18:1d:74:26:ce:c1:4f:6f:2f:c1:26:54:31:51:91 (ECDSA)
|_  256 d9:38:5f:99:7c:0d:64:7e:1d:46:f6:e9:7c:c6:37:17 (ED25519)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
  • curl 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298PiETxICPuE.png

  • 將目標主機和對應 domain name 加入 /etc/hosts, 再次使用 curl 手動檢查網站, 解析成功.
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298GLsnRD8UeS.png

  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298rw0aKt3rON.png

  • 手動檢查網站, 簡單即可判別為 wordpress
    https://ithelp.ithome.com.tw/upload/images/20230928/20078298KPur8ggQoB.png

  • 手動檢查網站, 提示一般字典檔無法順利破解, 可以利用 cewl 工具去產生密碼字典檔.
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298mIpSoyQCzI.png

  • wpscan 掃描網站(01)
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298GcoxaL4DWS.png

  • wpscan 掃描網站(02)
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298rrhVqKFcu5.png

  • wpscan 掃描網站(03), 列舉使用者, 共有三個已知使用者
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298mbo4jzWqUJ.png

  • 利用 cewl 工具產生密碼字典檔
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298PkhDYG23Ob.png

  • wpscan 暴力破解帳號密碼(三個已知使用者), 兩個破解成功
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298ZVu31uWFb2.png
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298YL7SaENkyQ.png

  • ssh 登入 jerry 失敗, ssh 成功登入 tom.
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298e9RGulVcp8.png

  • rbash(The restricted mode of bash), 檢查環境和可以執行指令
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298wq1ZcgVAfM.png

  • 利用 vim 繞過 rbash, set shell=/bin/bash
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298iDweSok5Sf.png

  • 利用 vim 繞過 rbash, shell
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298GqDm5mjBMJ.png

  • bash 沒有設定環境變數, 自行加入 PATH 後, get local.txt
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298jTBIUN3YdH.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298wmCUbqbUUv.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298f4kMiPgoBU.png

  • 檢查 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298Y47n9N0C0q.png

  • 檢查 sudo -l
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298IUVZCtC0d3.png

  • 嘗試切換身分為 jerry, 切換成功
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298BnDuTBrAES.png

  • 檢查 sudo -l, 發現的可以提權執行 git.
    https://ithelp.ithome.com.tw/upload/images/20230927/200782981pBHf4IirJ.png

  • 利用 sudogit 執行指令 sudo git -p help config, !sh 後提權成功
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298srGvWhy41M.png

  • get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20230927/20078298fK3vAAIVXo.png

ref


上一篇
[Day 13] PG Play DC-1 Writeup
下一篇
[Day 15] PG Play InfosecPrep Writeup
系列文
PG Play 怎麼玩都不累 - 靶機 writeup 思路分享30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言