Prime1 - 提权的另一种解法,彻底搞懂OpenSSL解密渗透提权,超强思路版。

已于 2024-06-02 01:44:54 修改
阅读量1k 收藏 21
点赞数 8
分类专栏: 红队打靶 文章标签: 红队打靶 网络安全
于 2024-06-02 01:31:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_82000839/article/details/139382538
版权

提权枚举

现在我们直接从低权限用户开始;我们先按照提权步骤,简单的系统枚举

虽然我们知道可以利用系统版本低进行内核提权,内核提权虽然比较快比较方便,但也比较暴力,缺点非常明显;很容易导致系统服务中断,或者不稳定

  • 打比赛除外,你打比赛只要拿到flag得分都行

image-20240601231010996

列出账号具有的权限

执行enc,可以用root权限执行,不需要密码

image-20240601231301368

ENC探索与查找

image-20240601231426308

使用strings是否能看一下enc的内容;同样是没有权限的

image-20240601231632059

使用file enc
enc: executable, regular file, no read permission

他说这是个可执行的不可读权限文件

我们运行enc,需要密码;尝试了password.txt与user.txt都不行image-20240601232213214

  • 新的知识点openssl

此处应该是另一种思路寻找enc的泄露密码;根据经验,存放密码应该是系统备份的位置

我们这个权限应该是有很多报错的,将报错扔掉

find / -name '*back*' 2>/dev/null

后来我实验发现删不删报错都一样,应该是系统不支持的问题,因为页面一闪而过,我们对结果数据进行排序

,再做个less分屏显示;貌似没多大卵用;

我们在搜集过程中要么用backup要么用pass,为什么不用password,因为后边他写的是wd还是word就不清楚;如果我们搜bak就太多了

find / -name '*backup*' 2>/dev/null | sort | less

搜集一下信息吧;

/opt/backup
/opt/backup/server_database/backup_pass

/var/backups

image-20240601233252265

image-20240601233350693

将这个三个地方都看一下;嗯,试了下/var/backups,有passwd的备份,但是没有权限去读,shadow也是相同,sudo下看能不能cp到/tmp目录下;不行,再看其他文件有无信息;

你的密码为了enc,backup_password;然后祝福我们

image-20240601234112410

找的过程非常顺利,主要是怎么搜索,查找的时候用引号将关键词,用的backup查找,也可以用pass,避免信息洪水,把错误信息扔掉,还有排序,less使用

ENC破解

运行enc,输出了good;image-20240601234853850

有两个文件貌似无权显示,加个sudo再尝试下;

好的,这样就出来了

image-20240601235133845

cat;一个像base64,一个说我们是ippsec的粉丝,将ippsec字符串转成md5哈希形式,用它获得真实自己

image-20240601235216525

md5格式生成

echo -n 'ippsec' |md5sum

-n 不输出尾随换行符

都是固定格式,不会就自己查资料,要么是–help

要么是man 命令

image-20240602000015099

如果不用n;看一下;这个结果完全是不一样的

一定要知道,如果只是视觉上来看,或者文本标异的话那就不需要;如果设计到字节级操作,那就要考虑到

image-20240602000052873

美化下md5生成的值,echo -n 'ippsec' | md5sum | awk -F ' ' '{print $1}'

awk是个文本编辑器,-F 是指定靠什么字符进行分割,第一第二分别是$1、$2、…

366a74cb3c959de17d61db30591c39d1

image-20240602000638553

openssl破解语句

看红队笔记才知道给的编码是openssl加密解码的,通过key.txt解出enc.txt的内容;后来才了解到,openssl解密后跟enc,怪不得这个思路没走,现在知道就得记住了

enc与openssl是捆绑的,

解密是-d 因为里面有base64编码,

我们还要解64编码-a 64位,

-k 指定上一步生成的md5

构造Cipher数据

这个是假如我们不知道base64编码(因为编码有很多,下次可能就是不认识的编码)解决的方法

openssl --help将编码复制到文件里进行整理

image-20240602002304784

我们用awk全局替换所有空格替换成回车键进行打印

  • gsub 替换
  • wc -l 行计数
  • uniqc 取唯一
awk '{gsub(/ /,"\n");print}'   cipher | sort | uniq | wc -l

整理完之后就可以把这些重定向到cipher里面

awk '{gsub(/ /,"\n");print}' cipher | sort | uniq > ciphers

cat

image-20240602004020030

这个做完之后掉头继续做openssl破解语句,看openssl enc --help说明-k怎么使用

image-20240602004557419

那我们还需要对md5进行echo值进行修改,那我们直接在输出修改语句吧

od 是linux系统命令,用man去查,

转储文件以8进制

image-20240602004924485

  • -A是根 不需要指定任何类型那就是n
  • -t x1
echo -n 'ippsec' | md5sum | awk -F ' ' '{print $1}' | od -A n -t x1

image-20240602005553963

多了一个字符0a,再对oa去掉

tr -d 去掉任何换行符

echo -n 'ippsec' | md5sum | awk -F ' ' '{print $1}' | tr -d '\n' | od -A n -t x1

image-20240602005812718

那现在还要进行修剪,

echo -n 'ippsec' | md5sum | awk -F ' ' '{print $1}' | tr -d '\n' | od -A n -t x1 | tr -d '\n' | tr -d ' '

image-20240602010012159

这个才是我们需要的,指定给key的

3336366137346362336339353964653137643631646233303539316333396431

for循环成功执行

们可以构造bash脚本,写一个for循环,将CipherTypes中的每一行替换为上述命令中的-cipher,bash脚本如下:

for cipher in $(cat ciphers);do echo 'nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4=' | openssl enc -d -a -$cipher -k 3336366137346362336339353964653137643631646233303539316333396431;done

image-20240602011705311

密码为tribute_to_ippsec,很可能就是saket的ssh密码

image-20240602011859307

直接进入了ssh;提高交互性

python -c 'import pty;pty.spawn("/bin/bash")'

提权

给了提示信息,他说可以让我们执行此文件

/home/victor/undefeated_victor

image-20240602012133055

如果你能打败我,那就在你面前挑战我;/challenge: 未找到

那我们就写入内容

image-20240602012432567

那我们继续执行/bin/bash追加到challenge

对文件加执行权限,再次运行提示的程序,可以看到提权成功

这个靶机openssl思路也是解决了

eated_victor

如果你能打败我,那就在你面前挑战我;/challenge: 未找到

那我们就写入内容

那我们继续执行/bin/bash追加到challenge

对文件加执行权限,再次运行提示的程序,可以看到提权成功

这个靶机openssl思路也是解决了

image-20240602012721851
目前红队打靶就就更新到这里吧,要去忙其他的事情了,记录下红队视频的记录
https://www.bilibili.com/video/BV1ue4y1S7Zm?t=2.6
该去复习蓝队知识备战护网了,还需要保持学业期末成绩不挂科,之后再进行专升本的学习,真的是突然发觉时间不够用了,来年再见此期红队打靶更新吧!!!

flowers-boy
关注
  • 8
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
开源操作系统 OpenBSD 被曝四个严重的认证绕过和提权漏洞(详情)
smellycat000的专栏
12-06 878
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队具有安全基因、免费、基于 BSD 的类 Unix 开源操作系统 OpenBSD 被指存在四个高危安全漏洞。其中一个是存在于 ...
linux提权
2201_75378806的博客
03-27 612
提取的文件要认真看(.log文件之类的可能有账号密码哦)网站。
红队笔记5-Prime1打靶流程-模糊测试+内核提权(vulnhub)
qq_63442530的博客
03-18 969
学习的视频是哔哩哔哩红队笔记:「红队笔记」靶机精讲:Prime1 - 信息收集和分析能力的试炼,试试吧,按图索骥!_哔哩哔哩_bilibili打靶时参考文章和本文借鉴文章:红队打靶Prime1详细打靶思路之模糊测试+内核提权(vulnhub)_prime1靶机-CSDN博客靶机下载链接见:https://download.vulnhub.com/sickos/sick0s1.1.7zSudo nmap -sn 192.168.254.0/24目标主机ip:192.254.168.1441.快速扫描发现存活
Linux、OpenBSD纷纷中招:Stack Clash提权漏洞曝光
weixin_34248023的博客
07-04 96
图片来自于 Hacker News 根据Qualys提供的报告,在电脑上执行的每个程序都会使用到内存堆栈,该区域会根据程序的需求自动扩充。但是如果扩充太多以至于太靠近另一个内存堆栈区域,那么程序就会被搞乱,那么黑客就可以趁乱覆盖该内存堆栈区。 这种攻击方式(CVE-2010-2240)在2005-2010年期间已经被发现,直到Linux系统发展堆栈保护...
笔记1-20
2201_75378806的博客
03-27 883
仅个人笔记上传,较乱
红队打靶Prime1详细打靶提权思路OpenSSL解密(vulnhub)
Bossfrank的博客
06-16 673
本文使用openssl渗透解密的方法对vulnhub中靶机prime1的初始立足点进行提权,涉及知识点包括find命令寻找备份、md5哈希生成、OpenSSL解密的参数设定、bash脚本的编写等。
红队笔记6-Prime1打靶流程-提权-OpenSSL解密(vulnhub)
qq_63442530的博客
03-19 1172
本篇文章是根据靶场作者给出的提权通过openssl解密获得saket用户密码,在saket用户sudo -l提权成功,没有使用内核提权,也是作者想让我们学习openssl解密:1.enc运行密码的查找:find 找备份文件->缺少密码时可以通过查找备份文件可能存有密码2.密钥的处理:我们获得密钥,对其进行md5加密(md5sum)和16进制转换(od)3.openssl解密参数构造:查看openssl帮助文档,确定参数。
prime靶场详细解题过程
weixin_71718026的博客
05-22 1027
将 find 的输出传递给 less 可以让你在终端中更方便地查看找到的文件的路径。如下代码为openssl常用解密命令, "-d"参数表示解密,"-a"参数表示使用base64编码,"-K"参数表示使用的密钥(需为16进制), enc是OpenSSL的编码和加密的缩写,它是OpenSSL提供的一个命令行工具,用于加密和解密文件和信息。执行enc文件, 随后要求输入当前用户的密码, 尝试输入password.txt里面的密码, 提示文件执行失败, 说明这个密码是错误的,我们还需要在此系统下深挖正确的密码。
openssh-9.5p1-openssl-1.1.1w
11-01
openssl-1.1.1w-1.el7.centos.x86_64.rpm openssl-debuginfo-1.1.1w-1.el7.centos.x86_64.rpm openssl-devel-1.1.1w-1.el7.centos.x86_64.rpm 操作系统是centos7.3 或者 7.4 的话可以使用,其他本没有测试,但是大...
php使用openssl_encrypt中的AES-128-ECB加密解密
11-12
AES是一种广泛采用的对称加密算法,它提供了高度的数据安全性,而ECB则是其工作模式之一,虽然不推荐用于大块数据加密,但在某些场景下仍然适用。 AES-128-ECB加密的特点: 1. **AES-128**:AES标准支持128、192和...
Linux使用suid vim.basic文件实现提权
09-14
在Linux系统中,SUID(Set-User-Id)是一种特殊权限,允许普通用户执行某个程序时临时获得文件所有者的权限。这种机制主要用于系统管理工具,例如`passwd`,使得用户能够更改自己的密码,即使他们没有`/etc/shadow`...
openssl-devel-1.1.1o-1.el7.x86_64.rpm openssl-devel
05-23
openssl-devel-1.1.1o-1.el7.x86_64 openssl-devel openssl openssl rpm包
win32-64-1.0.2-1.1.0-1.1.1-light各种openssl的msi可执行安装文件.zip
12-28
OpenSSL 是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,同时也包括了众多的加密算法、证书工具等。这个压缩包包含的是针对Windows平台的MSI(Microsoft Installer)可执行安装文件,适用于32位和64...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8340
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
java毕设&课设-图书管理系统(完整的).zip
07-21
计算机毕业设计资源包含(项目部署视频+源码+LW+开题报告等等),所有项目经过助教老师跑通,有问题可以私信博主解决,可以免费帮部署。
奇异谱分析SSA做信号分解,信号去噪、分解
最新发布
07-21
奇异谱分析SSA做信号分解,信号去噪、分解 1.运行main文件,其余为子函数 2.可以做回归预测,分类预测,时间序列预测 3.可以做信号分解,算法优化,区间预测 4.可以做组合模型预测 5.可以做聚类
ASP电子政务档案管理系统(源代码+论文).rar
07-21
ASP电子政务档案管理系统(源代码+论文)
请用shell OpenSSL写一段aes-128-ecb pkcs5padding的加解密代码
04-22
好的,这里是使用Shell OpenSSL写的aes-128-ecb pkcs5padding的加解密代码: 加密代码: ``` #!/bin/bash # 待加密的字符串 orig_str="Hello, world!" # 加密的密钥,16字节 key="1234567890123456" # 填充方式 padding="pkcs5" # 使用 echo 命令将原始字符串转成二进制数据并进行加密,输出加密后的二进制数据 echo -n "$orig_str" | openssl enc -aes-128-ecb -K "$key" -$padding -nopad | xxd -p ``` 解密代码: ``` #!/bin/bash # 待解密的二进制数据 cipher_hex="3d4b739a4b0f59a72cd7debacecca8c343b2213812c0e9b9a05852d324589cea" # 解密的密钥,16字节 key="1234567890123456" # 填充方式 padding="pkcs5" # 将两个16进制数拼接成一个字节,并进行解密,输出解密后的字符串 echo -n "$cipher_hex" | sed 's/\(..\)/\1 /g' | xxd -r -p | openssl enc -d -aes-128-ecb -K "$key" -$padding ``` 注意,为了避免在加解密过程中引入额外的字符,需要注意使用echo命令输出时使用-n参数,即不自动添加换行符。在加密后输出的结果是16进制的字符串,可以使用xxd命令进行转换。在解密前需要将16进制的字符串转换成二进制数据,然后再进行解密。在转换时需要注意替换掉16进制字符串中的空格。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

flowers-boy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值