【HTB系列】靶机Irked的渗透测试详解

时间 2021-02-28

标签 node python git github shell apache 安全 bash 服务器微信栏目 Python 繁體版

原文原文链接

出品｜MS08067实验室（www.ms08067.com)node

本文做者：大方子（Ms08067实验室核心成员）python

Kali: 10.10.13.32
靶机地址：10.10.10.117git

先用nmap扫描下靶机github

靶机开放了 22 80 111 端口shell

查看下靶机的80端口apache

咱们用gobuster对网站的目录也进行一次爆破安全

访问下/manual，获得apache的文档页面没有能够利用的点bash

而后咱们在根据页面上的显示”IRC is almost working!”服务器

IRC（Internet Relay Chat的缩写，“因特网中继聊天”）是一种透过网络的即时聊天方式。其主要用于群体聊天，但一样也能够用于我的对我的的聊天。IRC使用的服务器端口有6667（明文传输，如irc://irc.freenode.net）、6697（SSL加密传输，如ircs://irc.freenode.net:6697）等微信

咱们能够看到IRC监听的端口为6697和6667，那么说明咱们的nmap探测是不彻底的。因此咱们对靶机的端口作一次全端口探测

这里咱们看到6697端口是开放，这里我对6697进一步进行探测

咱们搜索下是否存在相关的EXP

咱们尝试用第一个后门命令执行

获得shell以后利用python创建一个pty

而后咱们经过find搜索下user.txt

咱们进入/home/djmardov/Documents目录，发现User.txt不能读取，可是还有一个.backup的文件，咱们读取下

它给了咱们关于steg[Steganography]的提示，而后咱们获得了相似密码的字符串：
UPupDOWNdownLRlrBAbaSSss

关于隐写术的工具资源:
https://0xrick.github.io/lists/stego/

咱们以前在网页上看到一个表情，咱们把那个表情图片下载回来看看里面是否藏着什么东西
咱们用steghide --info来查下图片的是否包含隐藏数据，其中须要你输入刚刚获得的那串密码。

而后咱们提取数据

获得密码：Kab6h+m+bbp2J:HG

那咱们尝试登录SSH，拿到FLAG

接下来就是提高ROOT的权限

这里我用LinEnum来检查靶机是否有能够用来提权的点

LinEnum：https://github.com/rebootuser/LinEnum

而后本身的Kali 用 python -m SimpleHTTPServer 开启HTTP服务

而后在靶机上的/dev/shm用wget下载

而后 bash LinEnum.sh 执行脚本

在SUID文件中咱们发现这个文件的日期是在2018.5.16完成的跟其余文件有所不一样它是最新生产的，咱们去看看这个文件

这个文件彷佛记录这访问过这个系统的用户，咱们看到最后一行，这个程序在调用者/tmp/listusers这个文件

咱们先把这个文件复制咱们的kali中去调试它
先用把这个二进制文件用base64进行转换，-w0表示不换行输出

base64 -w0 /usr/bin/viewuser

而后将出现的一大堆数据进行复制
而后咱们在本身的kali 建立一个名为userview.b64的文件并把刚刚获得的一大堆数据复制到里面去

而后咱们在把文件解码输出为一个二进制文件

base64 -d viewuser.b64 > viewuser

而后咱们用lstrace 对这个文件进行调试

ltrace可以跟踪进程的库函数调用,它会显现出哪一个库函数被调用

若是本身的kali没有的话就apt-get install -y ltrace 安装下

咱们能够看到这个二进制文件到最后会调用/tmp/listusers这个文件。
由于这个vieruser是root权限调用的，那么被调用的/tmp/listusers也将会root权限

那么咱们直接编写个/tmp/listusers文件，同时要给它chmod +x

由于那个vieruser是监控在线登录的用户的，因此它是不会不断的执行，你能够看到当咱们写好这个文件并赋予执行权限的时候它的拥有者变成了root

而后咱们获得root flag

*后记，后来我发现我以前就变成了root的权限是由于以前别人作完了实验然没清理我执行了别人的listusers，因此我就被root了，可是get root的思路就是如上

这里我从新作了一次实验，如今是我刚写完listusers文件并加上执行权限

而后我运行viewusers，这里咱们能够看到它调用了咱们写的脚本而后咱们获得了root shell

转载请联系做者并注明出处！

Ms08067安全实验室专一于网络安全知识的普及和培训。团队已出版《Web安全攻防：渗透测试实战指南》，《内网安全攻防：渗透测试实战指南》，《Python安全攻防：渗透测试实战指南》，《Java代码安全审计（入门篇）》等书籍。
团队公众号按期分享关于CTF靶场、内网渗透、APT方面技术干货，从零开始、以实战落地为主，致力于作一个实用的干货分享型公众号。
官方网站：https://www.ms08067.com/

扫描下方二维码加入实验室VIP社区
加入后邀请加入内部VIP群，内部微信群永久有效！