iT邦幫忙

2023 iThome 鐵人賽

DAY 29
0
Security

PG Play 怎麼玩都不累 - 靶機 writeup 思路分享系列 第 29

[Day 29] PG Play SunsetDecoy & SunsetNoontide Writeup

  • 分享至 

  • xImage
  •  

SunsetDecoy

防雷頁


























可能的遺漏

  • 沒有太多網站和服務, 給的方向明確
  • 考驗 linux 基本操作
  • 服務功能和版本

摘要

  • 沒有太多網站和服務, 給的方向明確
    • zip crack
    • shadow crack
    • honeypot.decoy monitor
  • 考驗 linux 基本操作, 拿到 shell 之後, 有一些環境問題要處理
  • 服務功能和版本(chkrootkit 0.49) 在 exploitdb 有 exploit 可以用

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298hcMa0UiREG.png

  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298Y5wj090BuV.png

  • 手動檢查網站, 下載 save.zip
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298wqZ02kZy8u.png

  • 嘗試解壓縮, 有密碼失敗, 使用 john 破解 save.zip 成功
    https://ithelp.ithome.com.tw/upload/images/20231013/2007829812yTEnB0Op.png

  • 檢查 save.zip
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298TbGQ5f9Uv4.png

  • 檢查 save.zip
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298P3wyqn1uKE.png

  • 檢查 save.zip
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298raYfLpfxCP.png

  • 檢查 save.zip
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298RW1et6OLTh.png

  • 使用 john 破解 shadow, 296640a3b825115a47b68fc44501c828 使用者成功
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298nLmxEI3V5q.png

  • ssh 成功登入 296640a3b825115a47b68fc44501c828
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298lFsN5xRRa8.png

  • The restricted mode of bash, ssh(rbash escape)
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298GwI8itRNGg.png

  • 修正 $PATH, get local.txt
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298OGgvpzKqgE.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298noN5oL4Ia0.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298KVEEH9Ri71.png

  • 檢查 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298QqGRhAxTWj.png

  • 檢查家目錄, 發現 honeypot.decoy
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298Crt9YRp7Q5.png

  • honeypot.decoy, option 1, 2
    https://ithelp.ithome.com.tw/upload/images/20231013/200782984ReCkSaUEQ.png

  • honeypot.decoy, option 3, 4
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298I6NYOcNgU8.png

  • honeypot.decoy, option 5, 不確定執行了什麼
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298JcnkVmhFef.png

  • honeypot.decoy, option 6
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298cZuvEsBP1G.png

  • honeypot.decoy, option 7
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298302CzFweaf.png
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298GRR5ZTJgXH.png

  • honeypot.decoy, option 8
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298Ygl5BHcdNA.png

  • 利用 pspy, 監控 honeypot.decoy option 5 執行什麼指令或程式
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298tNZalca7Tj.png

  • 下載 pspy, 執行 honeypot.decoy option 5, 然後執行 pspy
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298tvmvX2nMb1.png

  • pspy 監控到執行的內容, 都在 root 的資料夾底下
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298ZPkDDfzVyB.png

  • 雖然在 root 的資料夾底下, 還是檢查一下相關權限
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298BwaHQGlafa.png

  • exploitdb(search chkrootkit, 有 exploit 可以嘗試)
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298q6mmvcf6zh.png

  • 嘗試使用 33899(是 exploit 方法)
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298Y96BAbn0bK.png

  • exploitdb 方法, chkrootkit 會執行 /etc/update
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298LHDFA4jTzo.png

  • script 寫入 /etc/update, 給予 find setuid 的權限, 要等 honeypot.decoy 一下才會觸發
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298p01lsmuq0z.png

  • 利用 find 提權, get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298q2zCjB1d0N.png

ref

SunsetNoontide

防雷頁


























可能的遺漏

  • 沒有網站服務, 攻擊向量限縮, 使用服務名稱和版本, 尋找可能的攻擊向量
  • 進入機器後, 常見帳號密碼要試試看

摘要

  • 沒有網站服務, 攻擊向量限縮, 使用服務名稱和版本, 尋找可能的攻擊向量
    • UnrealIRC
    • 服務功能的使用和 exploit 的理解
  • 進入機器後, 常見帳號密碼要試試看, 例如 root/root

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298fzjSY7bj3w.png

  • exploitdb(search UnrealIRC, 有 exploit 可以嘗試)
    https://ithelp.ithome.com.tw/upload/images/20231013/200782986W6JWpwmEd.png

  • 嘗試使用 13853
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298VBlKlhtStN.png

  • 檢查 exploit
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298aSQnT0frZh.png

  • 調整 reverse shell script
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298FxsH2tuCUQ.png

  • exploit 並沒有 reverse shell, 失敗原因可能是同時開 irssi
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298nEdgp0YAsj.png

  • irssi 檢查版本, 確認是有弱點的版本
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298SElbipKK6N.png

  • payload 相對簡單, 改用 nc 送 payload, reverse shell 成功
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298p4hj7aw1tt.png

  • 使用 python 取得 pty shell
    python3 -c 'import pty; pty.spawn("/bin/bash")'

  • get local.txt
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298iyViEASsD3.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298bVpi2tHWyI.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298QH1e7Rnnrl.png

  • 檢查 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298O7NG8jjx5B.png

  • 手動測試靶機(弱密碼 root/root 嘗試登入), 登入成功, get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20231013/20078298oiDjUH1TUz.png

ref


上一篇
[Day 28] PG Play Sumo & Seppuku Writeup
下一篇
[Day 30] PG Play Summary
系列文
PG Play 怎麼玩都不累 - 靶機 writeup 思路分享30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言