公众号后台回复 20250131 获取靶场下载地址。
1. 侦查
1.1 收集目标网络信息:IP地址
靶机启动后,没有提供IP地址。由于Kali和靶机在同一个C段,可以扫描ARP协议获取靶机IP地址。
1.2 主动扫描:扫描IP地址段
对靶机进行全端口扫描、服务扫描、版本扫描,发现22/SSH(filtered)、80/HTTP。
1.3 搜索目标网站
访问80/HTTP服务,在display.php页面获得用户名信息,后面发现用不上。
/search.php页面是查询接口。
/manage.php页面是登录接口。
2. 初始访问
2.1 利用面向公众的应用
/search.php页面存在SQLi漏洞。
数据库中有Staff库和users库。
users库的UserDetails表中有17个帐号密码。
Staff库的Users表中有admin用户的帐号密码。
使用admin用户的帐号密码,在/manage.php页面成功登录后台。
2.2 利用面向公众的应用
后台的/manage.php页面和addrecord.php页面,疑似存在文件包含漏洞。
爆破文件包含的参数,成功获得参数file。
爆破操作系统中的文件,发现端口敲门机制的配置文件。
在配置文件中发现22/SSH服务的开门和关门方法。
按照开门方法,成功获得22/SSH服务的访问权限。
2.3 有效账户:本地账户
使用SQLi漏洞发现的17个帐号密码,尝试登录22/SSH服务,获得chandlerb、joeyt、janitor的用户权限。
3. 凭据访问
3.1 不安全的凭据:文件中的凭据
使用janitor的用户权限,在家目录中发现一个密码本。
使用密码本爆破/etc/passwd中,具有登录权限的用户,获得fredf用户权限。
4. 权限提升
4.1 滥用特权控制机制:Sudo和Sudo缓存
fredf用户,能以root用户的权限,执行/opt/devstuff/dist/test/test命令。
发现该命令源代码的文件名称,搜索获得源代码。审计代码发现其功能是,将参数read的文件内容,附加到参数append的文件后面。
创建恶意配置文件,能使fredf用户以任意用户的权限执行任意命令,并附加到/etc/sudoers配置文件中。
fredf用户,以root用户的权限执行返回shell的命令,从而获得root用户权限。
4.2 利用漏洞提权:Sudo程序
该靶机是在2020年制作完成,而该漏洞是2021年才披露,纯属靶机作者意料之外。
使用任意用户的权限(chandlerb、joeyt、janitor、fredf),执行linpeas程序,发现Sudo程序存在CVE-2021-3156提权漏洞。
下载并执行EXP,获得root用户权限。
原文始发于微信公众号(OneMoreThink):攻防靶场(56):我敲门你要开哦 DC-9
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论