本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
一个每日分享渗透小技巧的公众号
大家好,这里是 大余安全 的第 99 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.hackthebox.eu/home/machines/profile/15
靶机难度:中级(4.3/10)
靶机发布日期:2017 年 10 月 30 日
靶机描述:
October is a fairly easy machine to gain an initial foothold on, however it presents a fair challenge for users who have never worked with NX/DEP or ASLR while exploiting buffer overflows.
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的 IP 是 10.10.10.16....
Nmap 发现只有两个开放的服务,OpenSSH 和 Apache 服务器....
可以看到服务器运行着 October CMS... 先爆破目录看看...
利用 dirb 爆破目录发现了默认目录:backend
这是 October CMS 的默认目录登陆页面...
进来后利用默认账号密码登陆了... 可以看到在 media 下可以 upload.... 直接上传文件即可...(这里可以看到限制了 php5 格式文件修改下)
可以看到成功提权 root... 并且获得了所有信息... 有点快....???
做到这一步我有点蒙... 因为发现的 user 和 root 信息都是假的... 存在的 root 用户却是有效的... 这里是我没看懂的地方...
因为提交的 flag 官方提示是错误的...
那就重新查看下把...
前面执行的是 web 输入上传的链接反弹回来却是 root 权限... 但是信息都是虚假的...
这次是通过模块触发...
获得了 www 权限外壳... 这里的 user 信息确是正确的...(那前面的 root 权限哪里来的... 有小伙伴知道请告知我谢谢)
通过 LinEnum.sh 枚举了所有信息... 在 SUID 发现了不正常的程序 ovrflw,以 root 权限运行着... 按照经验应该是存在缓冲区溢出提 shell... 试试吧
直接利用靶机自带的 nc 把文件传到本地分析...(这里传输方法很多)
虽然 ovrflw 是 ELF 32 位最低有效位可执行文件... 这里前面讲过太多缓冲区溢出的文章...
直接利用 pattern_create 和 pattern_offset 获得偏移量为 112...
然后找到函数绝对值... 在找个断点... 直接输入提权 root 即可...
while true; do ./ovrflw $(python -c 'print "A"*112 + "\x10\x13\x5e\xb7\x60\x42\x5d\xb7\xac\x3b\x70\xb7"');done
成功利用偏移量 + 函数绝对值和断点.. 直接获得了 root 权限... 当然还有很多种操作的方法,甚至写 python 写入 shell 也可以....
这里成功获得了正确的 root 权限...
估计前面的 root 权限是一个 BUG 吧...
由于我们已经成功得到 root 权限查看 user 和 root.txt,因此完成这台中等难度的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全
一个全栈渗透小技巧的公众号