# 靶场搭建

下载后直接导入,打开直接用。

IP: 192.168.1.133

# 渗透过程

# 信息初收集

22/tcp   open  ssh
113/tcp  open  ident
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
8080/tcp open  http-proxy
22/tcp   open  ssh         OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
113/tcp  open  ident?
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
8080/tcp open  http-proxy  IIS 6.0
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9

开了 smb 服务和 web 服务

先看 smb 服务

print$          Disk      Printer Drivers
access          Disk      
IPC$            IPC       IPC Service (development server (Samba, Ubuntu))

S-1-22-1-1000 Unix User\admin (Local User)                                                                               
S-1-22-1-1001 Unix User\patrick (Local User)
S-1-22-1-1002 Unix User\intern (Local User)
S-1-22-1-1003 Unix User\ossec (Local User)
S-1-22-1-1004 Unix User\ossecm (Local User)
S-1-22-1-1005 Unix User\ossecr (Local User)

进行了目录和用户枚举

access 目录需要登录才能查看,无解

尝试了 samba 服务的 usermap 漏洞模块无果 ==、

进到了 web 服务看到了提示 html_pages 目录,。获取到一些信息

-rw-r--r-- 1 www-data www-data      285 Sep 26 17:46 about.html
-rw-r--r-- 1 www-data www-data     1049 Sep 26 17:51 config.html
-rw-r--r-- 1 www-data www-data      199 Jul 23 15:37 default.html
-rw-r--r-- 1 www-data www-data     1086 Sep 28 09:22 development.html
-rw-r--r-- 1 www-data www-data      446 Jun 14 01:37 downloads.html
-rw-r--r-- 1 www-data www-data      285 Sep 26 17:53 error.html
-rw-r--r-- 1 www-data www-data        0 Sep 28 09:23 html_pages
-rw-r--r-- 1 www-data www-data      751 Sep 28 09:22 index.html
-rw-r--r-- 1 www-data www-data      202 Sep 26 17:57 login.html
-rw-r--r-- 1 www-data www-data      682 Jul 23 15:36 register.html
-rw-r--r-- 1 www-data www-data       74 Jul 23 16:29 tryharder.html
-rw-r--r-- 1 www-data www-data      186 Sep 26 17:58 uploads.html

一个个访问过去,搜集一些信息

  • about.html
    • 用户:David
  • default.html
    • 1001000 01010101 01001000 00111111
    • 翻译: HUH?
  • development.html
    • 提示,页面里藏东西了
  • downloads.html
    • Patrick 最喜欢的饮料:The Intern's Life Motto/martell
    • 源代码里有 <a href="./test.pcap">Logging</a> 一个流量文件
  • register.html
    • 01010011 01110101 01110010 01100101 01101100 01111001 00100000 01100100 01100101 01110110 01100101 01101100 01101111 01110000 01101101 01100101 01101110 01110100 00100000 01110011 01100101 01100011 01110010 01100101 01110100 00100000 01110000 01100001 01100111 01100101 00100000 01101001 01110011 00100000 01101110 01101111 01110100 00100000 01110100 01101000 01100001 01110100 00100000 01101000 01100001 01110010 01100100 00100000 01110100 01101111 00100000 01100110 01101001 01101110 01100100 00111111
    • 翻译: Surely development secret page is not that hard to find?
  • uploads.html
    • 提示通过文件上传拿到 shell,web 服务是 root 权限运行
  • login.html
    • 提示寻找登录界面

下载流量文件,审一下,从 http 流量中发现的 developmentsecretpage 目录找到了登录口

尝试进行敏感目录收集,发现会 ban 掉 IP==、所以大规模的扫描指定是不行了。

# 敏感信息泄露

尝试根据提示猜测口令,发现了报错信息

Deprecated: Function ereg_replace() is deprecated in /var/www/html/developmentsecretpage/slogin_lib.inc.php on line 335
Deprecated: Function ereg_replace() is deprecated in /var/www/html/developmentsecretpage/slogin_lib.inc.php on line 336

搜索使用的 slogin_lib.inc.php 得到具有文件包含和敏感信息泄露

访问: http://192.168.1.133:8080/developmentsecretpage/slog_users.txt 拿到账号密码

进行 md5 解密

admin, 3cb1d13bb83ffff2defe8d1443d3a0eb, 解不开
intern, 12345678900987654321
patrick, P@ssw0rd25
qiu, qiu

尝试登录,登进去啥也没,没用。

intern、patrick 在机器上也有账号,尝试 shh 登录机器

intern 能成功登录。

# 虚假 shell 逃逸

看到么用户目录下面的文件,想要 cat 一下发现没用命令。 ? 一下发现 shell 不对劲,可能是 lshell ,逃逸一下: os.system('/bin/bash')

查看了下目录、sudo 权限没有什么能用了

可以尝试弹 shell 到 msf 中,利用提权模块进行提权,或者上一些提权脚本。但是机器上没有 gcc,可能比较麻烦

想到还有一个账号可以尝试登录一下

# 提权

尝试 su patrick 发现能登录,估计是禁了 ssh

查看 sudo 权限

User patrick may run the following commands on development:
    (ALL) NOPASSWD: /usr/bin/vim
    (ALL) NOPASSWD: /bin/nano

发现有 sudo 的 vim 权限。v

vim 能够在编辑器中执行 shell 命令,直接 sudo vim ,然后 :shell

拿到 root 权限。

# 小结

绕,利用已知信息一点点搞。哎很不爽,我只喜欢暴力一点的。