准备:
攻击机:虚拟机kali、本机win10。
靶机:looz: 1,下载地址:https://download.vulnhub.com/looz/Looz.zip,下载后直接vbox打开即可。
知识点:可疑文件提权、hydra爆破、dns解析、polkit漏洞提权(CVE-2021-4034)。
信息收集:
通过nmap扫描下网段内的存活主机地址,确定下靶机的地址:nmap -sn 192.168.110.0/24,获得靶机地址:192.168.110.67。
扫描下端口对应的服务:nmap -T4 -sV -p- -A 192.168.110.67,显示开放了22、80、3306、8081端口,开启了ssh、http、mysql服务。
访问下http服务:http://192.168.110.67/,并检查源代码信息,发现一组账户信息:jphn/y0uC@n'tbr3akIT,说是wp的登录账户。
目录扫描:
使用dirmap对:http://192.168.110.67/和http://192.168.110.67:8081进行目录扫描,发现了一个登录地址:http://192.168.110.67:8081/wp-login.php。
DNS解析:
使用获得账户信息:jphn/y0uC@n'tbr3akIT在http://192.168.110.67:8081/wp-login.php进行登录,但是发现跳转到了wp.looz.com进行了报错。
因此我们需要添加dns解析。win:打开C:\Windows\System32\drivers\etc\hosts文件,添加:192.168.110.67 wp.looz.com,添加之后使用账户信息:jphn/y0uC@n'tbr3akIT在http://192.168.110.67:8081/wp-login.php,成功登录到管理界面。
获取shell:
在管理界面中发现了另一个管理员账户:gandalf,那就使用hydra进行此账户的密码破解,时间比较久,差不多两个小时。最终成功获得密码:highschoolmusical。
使用获得账户和密码信息:gandalf/highschoolmusical进行ssh登录,成功获得shell权限。
在alatar目录下发现了user.txt文件,读取该文件信息成功获得flag值并且在该目录下的Private目录中找到了可疑文件shell_testv1.0。
可疑文件提权:
在查找第一个flag的时候发现了一个可疑文件:/home/alatar/Private/shell_testv1.0,显示当前账户可执行且具有root权限,直接执行该脚本直接获得root权限并在/root目录下发现root.txt文件并读取flag值。一般是通过:find / -perm -4000 -type f 2>/dev/null来查找可疑文件的。
polkit漏洞提权:
那我们查看当前用户下具有root权限的可执行文件都有哪些,命令:find / -perm -4000 -type f 2>/dev/null,发现了:/usr/lib/policykit-1/polkit-agent-helper-1,那可能存在polkit漏洞。经验证这里的polkit漏洞是CVE-2021-4034。上传该漏洞的exp直接执行即可获得root权限。exp链接:https://pan.baidu.com/s/1TEfF3J2v1TOxeA2Jg_XMSg,提取码:upfn。
