Sumo

防雷頁

可能的遺漏

• 經典弱點重現, 需要細心檢查一下

摘要

• 經典弱點重現, 需要細心檢查一下
  • shellshock(CVE-2014-6271)
  • dirtycow(CVE-2016-5195)

Walkthrough

• 先透過 nmap 確認開什麼 port 和什麼服務
  

• dirb 掃描網站目錄
  

• dirb 掃描網站目錄
  

• 手動檢查網站
  

• 手動檢查網站
  

• 嘗試知名的 shellshock(CVE-2014-6271), 看起來是有弱點的
  

• 利用 curl 再次驗證
  

• reverse shell
  

• 使用 python 取得 pty shell
  python3 -c 'import pty; pty.spawn("/bin/bash")'

• get local.txt
  

• find setuid program
  

• 檢查 /etc/crontab
  

• 檢查 /etc/passwd
  

• 檢查系統核心版本, 版本過舊, 可能有已知的 exploit 可以提權
  

• 首先嘗試知名的 dirtycow
  

• 編譯 dirtycow, 修正 $PATH
  

• 使用 dirtycow 提權, 登入 firefart 提權成功, get proof.txt
  

ref

• Shellshock (software bug) - Wikipedia
• GitHub - firefart/dirtycow: Dirty Cow exploit - CVE-2016-5195

Seppuku

防雷頁

可能的遺漏

• 是一台很有趣的靶機, 有很多創意的發想
• 網站和服務非常多, 需要耐心和細心一個一個檢查, 而且其中還有 Rabbit Hole

摘要

• 是一台很有趣的靶機, 有很多創意的發想
  • 不同地方取得的資料, 有可能組合一起使用
  • 要盤點不同帳號所擁有的權限
• 網站和服務非常多, 需要耐心和細心一個一個檢查, 而且其中還有 Rabbit Hole
  • 主要使用 22, 445, 7601 port
  • 檢查家目錄有沒有機敏檔案

Walkthrough

• 先透過 nmap 確認開什麼 port 和什麼服務
  

• dirb 掃描網站目錄(80 port)
  

• dirb 掃描網站目錄(7601 port)
  

• dirb 掃描網站目錄(8088 port)
  

• enum4linux(01)
  

• enum4linux(02)
  

• enum4linux(03)
  

• enum4linux(04)
  

• enum4linux(05), 發現有使用者 seppuku, samurai, tanto
  

• 手動檢查網站(80 port)
  

• 手動檢查網站(8088 port)
  

• 手動檢查網站(8088 port)
  

• 手動檢查網站(8088 port)
  

• 手動檢查網站(7601 port)
  

• 手動檢查網站(7601 port)
  

• 手動檢查網站(7601 port)
  

• 手動檢查網站(7601 port)
  

• 手動檢查網站(7601 port)
  

• 手動檢查網站(7601 port)
  

• 手動檢查網站(7601 port)
  

• 利用 enum4linux 取得的使用者名稱, 和網站下載的密碼檔, 嘗試使用 hydra 暴力破解 ssh 登入
  

• ssh 成功登入 seppuku
  

• rbash(The restricted mode of bash)
  

• ssh(rbash escape)
  

• get local.txt
  

• find setuid program
  

• 檢查 /etc/crontab
  

• 檢查 /etc/passwd
  

• 檢查 sudo -l
  

• 檢查家目錄, 發現密碼明文檔案, 嘗試之後是 samurai 的密碼
  

• 檢查 sudo -l, 看起有利用機會, 但是沒有權限寫入檔案
  

• 手動檢查網站(7601 port)
  

• 發現 private key, 下載之後, 嘗試登入 tanto, 登入成功
  

• 組合技, 利用 tanto 權限寫入檔案, 再使用 samurai 執行提權指令, 給予 find setuid 的權限
  

• 利用 find 提權, get proof.txt
  

ref

• find | GTFOBins