Prime1 - 提权的另一种解法,彻底搞懂OpenSSL解密渗透提权,超强思路版。
提权枚举
现在我们直接从低权限用户开始;我们先按照提权步骤,简单的系统枚举
虽然我们知道可以利用系统版本低进行内核提权,内核提权虽然比较快比较方便,但也比较暴力,缺点非常明显;很容易导致系统服务中断,或者不稳定
- 打比赛除外,你打比赛只要拿到flag得分都行
列出账号具有的权限
执行enc,可以用root权限执行,不需要密码
ENC探索与查找
使用strings是否能看一下enc的内容;同样是没有权限的
使用file enc
enc: executable, regular file, no read permission
他说这是个可执行的不可读权限文件
我们运行enc,需要密码;尝试了password.txt与user.txt都不行
- 新的知识点openssl
此处应该是另一种思路寻找enc的泄露密码;根据经验,存放密码应该是系统备份的位置
我们这个权限应该是有很多报错的,将报错扔掉
find / -name '*back*' 2>/dev/null
后来我实验发现删不删报错都一样,应该是系统不支持的问题,因为页面一闪而过,我们对结果数据进行排序
,再做个less分屏显示;貌似没多大卵用;
我们在搜集过程中要么用backup要么用pass,为什么不用password,因为后边他写的是wd还是word就不清楚;如果我们搜bak就太多了
find / -name '*backup*' 2>/dev/null | sort | less
搜集一下信息吧;
/opt/backup
/opt/backup/server_database/backup_pass
/var/backups
将这个三个地方都看一下;嗯,试了下/var/backups,有passwd的备份,但是没有权限去读,shadow也是相同,sudo下看能不能cp到/tmp目录下;不行,再看其他文件有无信息;
你的密码为了enc,backup_password;然后祝福我们
找的过程非常顺利,主要是怎么搜索,查找的时候用引号将关键词,用的backup查找,也可以用pass,避免信息洪水,把错误信息扔掉,还有排序,less使用
ENC破解
运行enc,输出了good;
有两个文件貌似无权显示,加个sudo再尝试下;
好的,这样就出来了
cat;一个像base64,一个说我们是ippsec的粉丝,将ippsec字符串转成md5哈希形式,用它获得真实自己
md5格式生成
echo -n 'ippsec' |md5sum
-n 不输出尾随换行符
都是固定格式,不会就自己查资料,要么是--help
要么是man 命令
如果不用n;看一下;这个结果完全是不一样的
一定要知道,如果只是视觉上来看,或者文本标异的话那就不需要;如果设计到字节级操作,那就要考虑到
美化下md5生成的值,echo -n 'ippsec' | md5sum | awk -F ' ' '{print $1}'
awk是个文本编辑器,-F 是指定靠什么字符进行分割,第一第二分别是$1、$2、...
366a74cb3c959de17d61db30591c39d1
openssl破解语句
看红队笔记才知道给的编码是openssl加密解码的,通过key.txt解出enc.txt的内容;后来才了解到,openssl解密后跟enc,怪不得这个思路没走,现在知道就得记住了
enc与openssl是捆绑的,
解密是-d 因为里面有base64编码,
我们还要解64编码-a 64位,
-k 指定上一步生成的md5
构造Cipher数据
这个是假如我们不知道base64编码(因为编码有很多,下次可能就是不认识的编码)解决的方法
openssl --help将编码复制到文件里进行整理
我们用awk全局替换所有空格替换成回车键进行打印
- gsub 替换
- wc -l 行计数
- uniqc 取唯一
awk '{gsub(/ /,"\n");print}' cipher | sort | uniq | wc -l
整理完之后就可以把这些重定向到cipher里面
awk '{gsub(/ /,"\n");print}' cipher | sort | uniq > ciphers
cat
这个做完之后掉头继续做openssl破解语句,看openssl enc --help说明-k怎么使用
那我们还需要对md5进行echo值进行修改,那我们直接在输出修改语句吧
od 是linux系统命令,用man去查,
转储文件以8进制
- -A是根 不需要指定任何类型那就是n
- -t x1
echo -n 'ippsec' | md5sum | awk -F ' ' '{print $1}' | od -A n -t x1
多了一个字符0a,再对oa去掉
tr -d 去掉任何换行符
echo -n 'ippsec' | md5sum | awk -F ' ' '{print $1}' | tr -d '\n' | od -A n -t x1
那现在还要进行修剪,
echo -n 'ippsec' | md5sum | awk -F ' ' '{print $1}' | tr -d '\n' | od -A n -t x1 | tr -d '\n' | tr -d ' '
这个才是我们需要的,指定给key的
3336366137346362336339353964653137643631646233303539316333396431
for循环成功执行
们可以构造bash脚本,写一个for循环,将CipherTypes中的每一行替换为上述命令中的-cipher,bash脚本如下:
for cipher in $(cat ciphers);do echo 'nzE+iKr82Kh8BOQg0k/LViTZJup+9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId+B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb+bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm+/aWWVMxDOwKuqIT1ZZ0Nw4=' | openssl enc -d -a -$cipher -k 3336366137346362336339353964653137643631646233303539316333396431;done
密码为tribute_to_ippsec,很可能就是saket的ssh密码
直接进入了ssh;提高交互性
python -c 'import pty;pty.spawn("/bin/bash")'
提权
给了提示信息,他说可以让我们执行此文件
/home/victor/undefeated_victor
如果你能打败我,那就在你面前挑战我;/challenge: 未找到
那我们就写入内容
那我们继续执行/bin/bash追加到challenge
对文件加执行权限,再次运行提示的程序,可以看到提权成功
这个靶机openssl思路也是解决了