iT邦幫忙

2023 iThome 鐵人賽

DAY 26
0
Security

PG Play 怎麼玩都不累 - 靶機 writeup 思路分享系列 第 26

[Day 26] PG Play Ha-natraj & Inclusiveness Writeup

  • 分享至 

  • xImage
  •  

Ha-natraj

防雷頁


























可能的遺漏

  • 是一台很有趣的靶機, 有很多創意的發想, 但也有一點無奈的部分
  • 切換身分後, 要重新檢查一次權限

摘要

  • 是一台很有趣的靶機, 有很多創意的發想, 但也有一點無奈的部分
    • Local File Inclusion 只能用硬爆的, 沒有發現提示
    • Local File Inclusion 和 ssh log 組合技很有趣
    • 利用 apache 和 webshell 切換使用者很有趣
  • 切換身分後, 要重新檢查一次 sudo 權限

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298SmTF64Kb7G.png

  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298rPmIFctsSw.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298PYGlkCOjej.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298oOPFdb7Nd8.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298mzEo21ATsn.png

  • 利用 ffuf 掃描 /console/file.php 的 parameter and value, parameter 清單從網路上抓, value 使用常見 payload 進行測試, 發現有 LFI(Local File Inclusion) 的弱點
    https://ithelp.ithome.com.tw/upload/images/20231010/200782986YOFu9LXbM.png

  • Local File Inclusion(/etc/passwd)
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298FV7lTlKPcS.png

  • Local File Inclusion(/etc/issue)
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298WHR3Q76y4H.png

  • Local File Inclusion(/proc/version)
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298xFnIPRRTtE.png

  • Local File Inclusion(/proc/self/status)
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298H22m8j12kn.png

  • Local File Inclusion(/proc/mounts)
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298hN8SmyGGJ0.png

  • Local File Inclusion(/var/www/html/index.html)
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298tv6UqCg9Py.png

  • Local File Inclusion(.bash_history), 為空
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298lyCfetSzLk.png

  • Local File Inclusion(.ssh/id_rsa), 為空
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298PFSA834cqF.png

  • Local File Inclusion(.bash_history), 為空
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298o9OuH5rc9Z.png

  • Local File Inclusion(.ssh/id_rsa), 為空
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298638PlMFnGV.png

  • Local File Inclusion(/var/log/apache2/access.log), 為空
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298q6fRBbifIm.png

  • Local File Inclusion(/var/log/auth.log)
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298fsvnA90zQr.png

  • 利用 ssh username 寫入字串
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298w0qZteKxtu.png

  • 利用 ssh username 寫入 webshell
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298C7l5NARZkH.png

  • reverse shell
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298JoRbXL0Wez.png

  • 使用 python 取得 pty shell
    python3 -c 'import pty; pty.spawn("/bin/bash")'

  • get local.txt
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298otJaioHRlV.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298EKr76n75vf.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298mhZzqb6YGH.png

  • 檢查 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20231010/200782986VkSvy7Deu.png

  • 檢查 sudo -l 和 apache2 資料夾權限, 發現可以重啟 apache2 和修改 apache2.conf
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298iBlgt9lcXz.png

  • 檢查 apache2.conf 發現可以修改使用者和群組
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298YdYCDvqc07.png

  • 修改 apache2.conf 並且重新啟動
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298Ug3YaDzH2b.png

  • reverse shell again, 使用者成功變更為 mahakal
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298XqTEMyoHHD.png

  • 檢查 sudo -l
    https://ithelp.ithome.com.tw/upload/images/20231010/200782986ggyMW0piz.png

  • 利用 nmap 提權, get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298hQnQRzIqsp.png

ref

Inclusiveness

防雷頁


























可能的遺漏

  • 是一台有趣的靶機, 可能需要一些推測, 給的方向都蠻明確的
  • 注意可能有 Rabbit Hole
  • 進入機器後, 檢查程式檔案權限

摘要

  • 是一台有趣的靶機, 可能需要一些推測, 給的方向都蠻明確的
    • User-Agent
    • Local File Inclusion
    • ftp upload
    • $PATH hijack
  • 注意可能有 Rabbit Hole, DNS Zone Transfer Attack
  • 透過找到有 setuid 的程式 rootshell 進行提權

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298htIzAxgNJZ.png

  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20231010/200782989xKug3tbuh.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231010/200782987RaphZdsWl.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298EZ1IjYoeXe.png

  • 尋找可用的 User-Agent 名稱
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298JrROxN5MDd.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298wG3rh56KA4.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298yMiqwgMPAe.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298HIMns9S03a.png

  • 手動測試網站(Local File Inclusion), 推測可能有弱點
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298nTKmSkBPaQ.png

  • Local File Inclusion(/etc/passwd)
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298k09yarnIq7.png

  • Local File Inclusion(/etc/issue)
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298oQoFAchGIw.png

  • Local File Inclusion(/proc/version)
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298ojItaBfSYN.png

  • Local File Inclusion(/proc/self/status)
    https://ithelp.ithome.com.tw/upload/images/20231010/200782981PiIdj8Cr9.png

  • Local File Inclusion(/proc/mounts)
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298E5Y5S9hVnS.png

  • Local File Inclusion(/var/www/html/index.html)
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298HXciEYFHcB.png

  • Local File Inclusion(.bash_history), 為空
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298ItYLF25TfV.png

  • Local File Inclusion(.ssh/id_rsa), 為空
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298PSwjosEDKc.png

  • Local File Inclusion(/var/log/apache2/access.log), 為空
    https://ithelp.ithome.com.tw/upload/images/20231010/200782987Ovjg458vs.png

  • Local File Inclusion(/var/log/auth.log), 為空
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298BsOLwB0T9K.png

  • Local File Inclusion(/etc/vsftpd.conf), 發現上傳路徑
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298EBWzgnLkKs.png

  • 手動檢查ftp(anonymous登入), 可以上傳 webshell
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298X2ff1kEZL2.png

  • Local File Inclusion(webshell)
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298T3El8sbdtk.png

  • reverse shell
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298x6ji0FHh6X.png

  • 使用 python 取得 pty shell
    python3 -c 'import pty; pty.spawn("/bin/bash")'

  • get local.txt
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298dMbXKjAWZf.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298Dzi8ynzk4E.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298bXTPUPiulO.png

  • 檢查 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20231010/200782986FS3Y0UTD2.png

  • 檢查 setuid /home/tom/rootshell
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298RG5MpNEnub.png

  • 利用 /home/tom/rootshell 提權
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298OlVFeVRG03.png

  • get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20231010/20078298SjEphYqEAz.png

ref


上一篇
[Day 25] PG Play Dawn & Solstice Writeup
下一篇
[Day 27] PG Play FunboxEasyEnum & Monitoring Writeup
系列文
PG Play 怎麼玩都不累 - 靶機 writeup 思路分享30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言