0x00 信息收集
nmap -Pn -p- -T4 --min-rate=1000 10.10.10.160
nmap -Pn -p 22,80,6379,10000 -sCV 10.10.10.160
Redis存在未授权访问
80端口未发现可利用的地方,10000端口存在Webmin服务可登录后RCE。
因此思路就是获得Webmin服务的账号密码,突破口集中在Redis未授权访问。
0x01 漏洞利用
利用Redis未授权访问写入定时任务,但无法执行,即尝试写入ssh-key。
得到redis的权限,但无权限查看user.txt
最终在/opt目录下发现了一个id_rsa的备份文件,拷贝到本地进行破解。
先使用ssh2john把密钥转换成john可破解的模式,然后再使用john进行破解得到密码computer2008
使用ssh登录到Matt用户失败
在已获得redis用户的权限先,su Matt成功
0x02 权限提升
linpeas.sh脚本枚举也未发现可利用的地方。
最终通过Matt登录Webmin服务,利用如下脚本成功获得root权限。
https://github.com/NaveenNguyen/Webmin-1.910-Package-Updates-RCE/blob/master/exploit_poc.py