iT邦幫忙

2023 iThome 鐵人賽

DAY 27
0
Security

PG Play 怎麼玩都不累 - 靶機 writeup 思路分享系列 第 27

[Day 27] PG Play FunboxEasyEnum & Monitoring Writeup

  • 分享至 

  • xImage
  •  

FunboxEasyEnum

防雷頁


























可能的遺漏

  • 靶機可能需要一些 想像力
  • 切換身分後, 要重新檢查一次權限

摘要

  • 靶機可能需要一些 想像力
    • 選對字典檔
    • 暴力破解, 由簡而繁
  • 切換身分後, 要重新檢查一次 sudo 權限

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298FdgEzGqhWc.png

  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298duZ6MJciwV.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298aUsp1oJoKm.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298w5CIjGCgVU.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298wej7xMqAtr.png

  • 手動檢查網站, mini shell
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298ylKVJTWDNF.png

  • upload webshell
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298E2LcFwjSNC.png

  • webshell
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298XeposXBchG.png

  • reverse shell
    https://ithelp.ithome.com.tw/upload/images/20231011/200782987smid2ccVk.png

  • 使用 python 取得 pty shell
    python3 -c 'import pty; pty.spawn("/bin/bash")'

  • get local.txt
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298mcvHe67LZT.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298TdvGd5Rzkm.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298oDut0rmLDb.png

  • 檢查 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20231011/2007829852Gk2w5DwA.png

  • /etc/passwd 暴力破解 oracle 帳號的密碼, 密碼為 hiphop
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298XS1cFzAtjK.png

  • ssh 登入 oracle, 檢查 sudo -l
    https://ithelp.ithome.com.tw/upload/images/20231011/200782980fiR1qKxzb.png

  • 檢查是不是有其他使用者
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298x95fE6aLpg.png

  • 利用使用者清單進行暴力破解, 找到一組帳號密碼 goat/goat
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298D1i7fPGbkN.png

  • ssh 登入 goat
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298x65mNmoga3.png

  • 檢查 sudo -l, 利用 mysql 提權, get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298lmxeXkIkTl.png

ref

Monitoring

防雷頁


























可能的遺漏

  • 靶機很需要 想像力, 可能有 Rabbit Hole
  • web 頁面功能和版本
  • 本題目沒有 local.txt

摘要

  • 靶機很需要 想像力, 可能有 Rabbit Hole
    • 網站和服務很多, 要有耐心一個一個檢查
    • 常見預設帳號密碼, 暴力破解
  • web 頁面功能和版本(Nagios XI) 在 exploitdb 有 exploit 可以用, exploit 要有耐心等一下
  • 本題目沒有 local.txt

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298bx0UQk6FBs.png

  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298pTPeaFe3uE.png

  • 手動檢查網站(80 port)
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298TypaizrwZY.png

  • 手動檢查網站(80 port), 發現登入頁面
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298zyKCNhlZXP.png

  • 尋找預設帳號密碼, nagiosadmin/nagiosadmin
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298ZNPjgNaTWh.png

  • 手動測試登入網站(80 port), nagiosadmin/nagiosadmin, 登入失敗
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298qeZz4XcY4x.png

  • 手動檢查網站(443 port)
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298wfOX2DzxdC.png

  • 手動測試登入網站(443 port), nagiosadmin/nagiosadmin, 登入失敗
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298MuAqqwpCgU.png

  • 手動測試登入網站(443 port), nagiosadmin/admin, 登入成功
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298xHPpG76pYE.png

  • exploitdb(search Nagios XI, 有 exploit 可以嘗試)
    https://ithelp.ithome.com.tw/upload/images/20231011/200782981X6NGk3cme.png

  • 嘗試使用 47299
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298d6wqXCTTth.png

  • 手動測試 exploit, 缺少 php-curl, 進行安裝
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298RlNqosMnKh.png

  • 手動測試 exploit, 缺少 php-dom, 進行安裝
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298UP8ARlVhB9.png

  • 手動測試 exploit, 不確定原因, 並沒有成功 reverse shell
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298uCmyB8jmGS.png

  • 檢查 exploit 程式碼
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298Q3nuYFoQDr.png

  • 調整 exploit 程式碼, 只有調整 reverse shell 的 script
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298ZqYiLNyQNo.png

  • 手動測試 exploit, 成功, 可能需要多等一下
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298bSwyGX2IwW.png

  • 使用 python 取得 pty shell
    python3 -c 'import pty; pty.spawn("/bin/bash")'

  • 直接是 root 權限, get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20231011/20078298jljmTW2FEJ.png

ref


上一篇
[Day 26] PG Play Ha-natraj & Inclusiveness Writeup
下一篇
[Day 28] PG Play Sumo & Seppuku Writeup
系列文
PG Play 怎麼玩都不累 - 靶機 writeup 思路分享30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言