iT邦幫忙

2023 iThome 鐵人賽

DAY 28
0

Sumo

防雷頁


























可能的遺漏

  • 經典弱點重現, 需要細心檢查一下

摘要

  • 經典弱點重現, 需要細心檢查一下
    • shellshock(CVE-2014-6271)
    • dirtycow(CVE-2016-5195)

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298oqU8MDePXj.png

  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298I8gwhCRjtD.png

  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298hAysMdsIvv.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298Zw1MuHGsRD.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298qB886u7rPF.png

  • 嘗試知名的 shellshock(CVE-2014-6271), 看起來是有弱點的
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298MdLzQb8d62.png

  • 利用 curl 再次驗證
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298Iu6Fi42Y03.png

  • reverse shell
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298NT8ZZHmd3n.png

  • 使用 python 取得 pty shell
    python3 -c 'import pty; pty.spawn("/bin/bash")'

  • get local.txt
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298J0OcjVI2pX.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20231012/200782987HY90Z3zYX.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298nTfLMejlL4.png

  • 檢查 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298AMBaTC7RS3.png

  • 檢查系統核心版本, 版本過舊, 可能有已知的 exploit 可以提權
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298pehvqsvhDG.png

  • 首先嘗試知名的 dirtycow
    https://ithelp.ithome.com.tw/upload/images/20231002/200782988d4dLW1sRv.png

  • 編譯 dirtycow, 修正 $PATH
    https://ithelp.ithome.com.tw/upload/images/20231012/200782987YXhAal2ce.png

  • 使用 dirtycow 提權, 登入 firefart 提權成功, get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298N97TRPLM8u.png

ref

Seppuku

防雷頁


























可能的遺漏

  • 是一台很有趣的靶機, 有很多創意的發想
  • 網站和服務非常多, 需要耐心和細心一個一個檢查, 而且其中還有 Rabbit Hole

摘要

  • 是一台很有趣的靶機, 有很多創意的發想
    • 不同地方取得的資料, 有可能組合一起使用
    • 要盤點不同帳號所擁有的權限
  • 網站和服務非常多, 需要耐心和細心一個一個檢查, 而且其中還有 Rabbit Hole
    • 主要使用 22, 445, 7601 port
    • 檢查家目錄有沒有機敏檔案

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298MUqkLRj0UF.png

  • dirb 掃描網站目錄(80 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298k1UvTxIHK0.png

  • dirb 掃描網站目錄(7601 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298f1JUFusLJB.png

  • dirb 掃描網站目錄(8088 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298Hkso3ssXhJ.png

  • enum4linux(01)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298ctJUuDgCVL.png

  • enum4linux(02)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298ImEOKZED8N.png

  • enum4linux(03)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298HIIEn4kBlJ.png

  • enum4linux(04)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298ktqMkHgFlr.png

  • enum4linux(05), 發現有使用者 seppuku, samurai, tanto
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298sILUUhSZUF.png

  • 手動檢查網站(80 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298T8oI4vzLox.png

  • 手動檢查網站(8088 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298yB2oV7vNFo.png

  • 手動檢查網站(8088 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298hOLPYQ25AQ.png

  • 手動檢查網站(8088 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298FU3dzMQePo.png

  • 手動檢查網站(7601 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298imtwx6eIJU.png

  • 手動檢查網站(7601 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/200782988JtHgFiwhZ.png

  • 手動檢查網站(7601 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298DiofXGsJzM.png

  • 手動檢查網站(7601 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/200782983hxEPcQA3D.png

  • 手動檢查網站(7601 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298UpLdO6qd5F.png

  • 手動檢查網站(7601 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298UDmmEg88tF.png

  • 手動檢查網站(7601 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298o3XlMJlyBc.png

  • 利用 enum4linux 取得的使用者名稱, 和網站下載的密碼檔, 嘗試使用 hydra 暴力破解 ssh 登入
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298loX9tbWug0.png

  • ssh 成功登入 seppuku
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298ZPwb4lcUUM.png

  • rbash(The restricted mode of bash)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298pLHNivicgB.png

  • ssh(rbash escape)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298m85DC5fHJe.png

  • get local.txt
    https://ithelp.ithome.com.tw/upload/images/20231012/200782984EEtOX4R2m.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298zqU0UEMwdg.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298C7zsFlHgML.png

  • 檢查 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20231012/200782988r3r2QwJBO.png

  • 檢查 sudo -l
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298AKJIcAXAgf.png

  • 檢查家目錄, 發現密碼明文檔案, 嘗試之後是 samurai 的密碼
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298uePt4ANbsy.png

  • 檢查 sudo -l, 看起有利用機會, 但是沒有權限寫入檔案
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298dBuMfzhpsU.png

  • 手動檢查網站(7601 port)
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298CUrUyjno3r.png

  • 發現 private key, 下載之後, 嘗試登入 tanto, 登入成功
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298Fo4681nstX.png

  • 組合技, 利用 tanto 權限寫入檔案, 再使用 samurai 執行提權指令, 給予 find setuid 的權限
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298wrMowUIZR2.png

  • 利用 find 提權, get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20231012/20078298QwgEwaHqKP.png

ref


上一篇
[Day 27] PG Play FunboxEasyEnum & Monitoring Writeup
下一篇
[Day 29] PG Play SunsetDecoy & SunsetNoontide Writeup
系列文
PG Play 怎麼玩都不累 - 靶機 writeup 思路分享30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言