记一次hackmyvm综合靶场的渗透测试-t800
2022-4-10 09:43:53 Author: www.freebuf.com(查看原文) 阅读量:5 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

前言

本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!

信息收集阶段

靶机:192.168.1.128

Kali攻击机:192.168.1.54

目标:user权限和root权限

nmap -A -p1-65535 192.168.1.54

1649554462_6252341eebf044db4cef0.png!small?1649554463271

开启了80端口和800端口,而且800端口是SSH的端口修改的!

漏洞利用阶段

访问80端口,是个老头!还闪着金光?!!

1649554501_6252344553505349ff0c0.png!small?1649554501655

自由软件基金会创始人 RMS

查看源代码!

1649554508_6252344cda4bfed2d9463.png!small?1649554509124

里面有个信息:

Im ruut

貌似ruut是个用户名!

目录扫描走起!

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.1.54/ -x txt,log,html,php,zip,bak

1649554519_625234574be68ae5d20a1.png!small?1649554519566

扫出来一个可疑目录:

先看下robots.txt

http://192.168.1.54/robots.txt

/sexy/*.jpeg

需要FUZZ啊!

http://192.168.1.54/sexy/

没有权限访问该目录!

1649554530_62523462af73a46cd2359.png!small?1649554530981

结合上面发现的,直接FUZZ

http://192.168.1.54/sexy/FUZZ.jpeg

wfuzz -c --hc=404 --hh=169 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.1.54/sexy/FUZZ.jpeg

1649554540_6252346c413c07a0adaba.png!small?1649554540524

http://192.168.1.54/sexy/nudeslut.jpeg

1649554547_625234736458d334123a7.png!small?1649554547700

下载下来看看有无图片隐写!

1649554569_62523489b3bbc8bbbd69d.png!small?1649554569985

有个密码:

1649554575_6252348f1ac9cf4b2e9bc.png!small?1649554575410

passwd:chmodxheart

我们这里需要注意,这个SSH端口是800

ssh [email protected] -p800

1649554582_625234965da0f4becddd9.png!small?1649554582643

1649554587_6252349b89f5a5b650e3c.png!small?1649554587777

1649554592_625234a094aa552d7f99a.png!small?1649554592892

看来需要提权到其他两个用户!!

要找的文件在这,可没有权限!

1649554606_625234ae07a2584847ef7.png!small?1649554606313

权限提升阶段

提权第二把刀!Suid!

find / -perm -u=s 2>/dev/null

1649554656_625234e052dc05ac6b642.png!small?1649554656600

现在查询ruut权限,并找到两个奇怪二进制文件的suid权限。

/usr/bin/conky

/usr/bin/calife

经查询:

/usr/bin/conky:Linux 桌面系统监控工具Conky

1649554667_625234eb239b2f098a36e.png!small?1649554667442

/usr/bin/calife

1649554674_625234f2e5d778af1e9bd.png!small?1649554675154

1649554680_625234f87f4b39d68db52.png!small?1649554680743

我们看calife要求用户自己的密码去登录!!

所以这里:

/usr/bin/calife superruut

密码是:chmodxheart

登录完成后出现一个vim界面!!

1649554690_62523502b33073736c106.png!small?1649554691038

这里我们切换到底行命令模式:(当前用户为superruut)

执行bash!

:!/bin/bash

已成功切换到superruut!

1649554698_6252350a745a984f8b418.png!small?1649554698787

1649554704_625235101edfe6030c229.png!small?1649554704339

第一个flag:

cat userflag.txt

ruu*********mv

接着就需要切换到root上了!!

1649554794_6252356a5dd2de0e0cb4d.png!small?1649554794755

上面还有一个二进制程序:/usr/bin/conky

Conky是一个系统监视器,因此必须对某些特权文件(如shadow或root私钥)进行扩展。

但是,在开始升级之前,将生成一个密钥对,以便在不提供密码的情况下通过SSH作为SuperRuut连接。这将使作为SuperRuut连接更容易,而不必执行整个升级过程。

Kali生成密钥:全默认就行!

1649554803_62523573e55a2c0e04208.png!small?1649554804445

1649554809_62523579e4f4bf3ec0809.png!small?1649554810199

靶机:

1649554815_6252357f858d1553ff579.png!small?1649554815831

登录下看看:

ssh -i id_rsa [email protected] -p800

1649554826_6252358ad786977a083a6.png!small?1649554827176

现在,Conky的配置文件被复制到Superuut文件夹中,并被编辑以通过终端显示信息。

1649554834_625235923a994d6f2ce1e.png!small?1649554834447

cp /etc/conky/conky.conf ./.conkyrc

nano .conkyrc

查看下conky的配置文件:

1649554845_6252359d9259389de463e.png!small?1649554845876

您还需要修改CONKY文件以显示控制台所需的信息,在这种情况下,您需要显示 root私钥(如果存在)。

1649554851_625235a380300d7d511cd.png!small?1649554851822

修改完,Ctrl X YES退出!!

执行会显示错误!

1649554858_625235aa76e2fe74a0929.png!small?1649554858740

接着我再我的kali上安装下这个conky,查看下它的功能以及配置文件内容!!

apt install conky-all

1649554863_625235af7494993e2521f.png!small?1649554863725

会弹出窗口显示系统运行信息,但是我用的是root账户!

1649554867_625235b3c47b56e7168d8.png!small?1649554868096

查看下环境变量!

1649554873_625235b94567f984db8fa.png!small?1649554873484

查看下配置文件!!

cat /etc/conky/conky.conf

修改配置文件,把内容显示到console上!没错啊,信息会显示出来!!

1649554878_625235be770cb04d6731b.png!small?1649554878954

回到靶机上!指定配置文件也不行!

1649554884_625235c419e8b97ccdfa3.png!small?1649554884302

后来又仔细的看了大佬的WP:配置文件还需要新增一个配置:

out_to_x = false,

1649554888_625235c848bfd940b5485.png!small?1649554888619

需要的东西终于出来了!

1649554893_625235cd6a343aab72a6e.png!small?1649554894002

拷贝出来!

1649554899_625235d3456ff4a535c4b.png!small?1649554900379

修改权限!chmod 600 root_rsa

连接上!

1649554904_625235d8542db24db0af4.png!small?1649554904655

最终的flag:

cat rootflag.txt

h***********ot


文章来源: https://www.freebuf.com/articles/web/328270.html
如有侵权请联系:admin#unsafe.sh