vulnhub之SP:Harrison靶机
下载地址:‘https://www.vulnhub.com/entry/sp-harrison,302/’
环境:靶机放在virtualbox上运行,网卡模式
攻击机:kali Linux运行在VMware,注意网络模式选择桥接,并且桥接在virtualbox的虚拟网卡上
现在开始进入主题
首先使用netdiscover开启网络发现
发现了几个网段,因为靶机和我们是连接在同一张网卡,kali地址是192.168.163.0网段,那就上nmap这个工具
扫网段发现192.168.163.3这个机子是在vir上运行,靶机无疑。直接使用nmap -A 192.168.163.3 -p 1-65535 进行全扫描
有22,445端口
445 端口运行samba服务,是Linux下的一个共享服务,可以使用enum4linux 进行一个枚举
22端口运行ssh服务,并在扫描信息中发现了一个用户harrison,因为ssh算一个比较完善的服务,漏洞利用少,爆破也是不错的选择
使用enum4linux进行枚举,发现了一个共享文件夹Private
我们在使用smb客户端进看看是否是匿名共享,确实是匿名, -L 显示服务器端所分享出来的所有资源
直接连接smb的命令和ftp区别不大,ls一下文件发现了两个可以的.ssh目录可能存在密钥对,使我们ssh连接的时候使用私钥不用密码
flag.txt可能是我们这一关的终点站
下载到本地
查看内容,flag.txt经百度翻译为不会那么容易的。
id_rsa存私钥
authorized_keys里面存在着一份公钥,且有root字眼存在,不知道会不会是坑
使用ssh连接发现root使用不了私钥,我们前面扫描出一个用户搞好成功了,但是发现只能使用几个命令,受到限制
试试绕过,在次基础是新建一个shell终端进行绕过,最后成功了echo && ‘bash’
echo 输出 &&与逻辑前面命令成功继续执行后面的所以shell就成功了
找到两个flag文件都不是,不过root下的flag有执行权限,应该是他,所以我们要进行提权
收集信息
uname -a # 查看内核/操作系统/CPU信息
cat /etc/issue,此命令也适用于所有的Linux发行版
得到几个有用的信息
找内核有没有漏洞,很不幸没有找到,可能是我的searchsploit太久没更新了,也有可能是这个版本还没有爆出漏洞,比竟这个靶机是5月份
上传LinEnum.sh
下载地址https://github.com/rebootuser/LinEnum.git
运行kali上的python形成一个简单的HTTP服务,记得放LinEnum脚本的地方最好在本地浏览器试一下
在靶机是属于wget下载脚本,运行,先给脚本可执行权限
查看一下suid(可以让调用者以文件拥有者的身份运行该文件)就是以root的权限运行
(Nmap Vim find Bash More Less Nano cp
)
到这里我熟悉的就用完了,想了一下,还有docker,进去/run查看一下运行文件,发现了docker.sock
谷歌上搜了一会发现两篇文章
https://blog.fundebug.com/2017/04/17/about-docker-sock/
https://www.freebuf.com/articles/system/201793.html
本地命令好像是这样子,但是我们要新建一个容许来挂载/root,所以要改一下poc
试一下,
curl -XPOST -H ‘Content-Type: application/json’ –unix-socket ‘{“Image”:”ubuntu”,”Cmd”:[“/bin/sh”],”DetachKey”:”ctrl-p,ctrl-q”,”Mounts”:[{“Type”:”bind”,”Source”:”/root/”,”Target”:’/os_root’}]}’ http://localhost/containers/create -d
-XPOST 发送post请求
-h 添加请求头
Image 创造镜像名称
attach进入Docker容器,指定退出attach模式的快捷键序列,默认是CTRL+p CTRL-q
Cmd 执行的命令
Mounts 挂载 ,将root挂载在容器的os_root
--unix-socket
指定 unix socket 文件的地址 ,监听地址不是 IP:Port 而是 unix socket 的程序
curl --unix-socket /var/run/docker.sock http://localhost/images/json
获取所有的容器这个命令或许有用记下来
nc -U /var/run/docker.socket
nc不是脑残的缩写,是net cat的缩写。-U指明是unix socket
不知道传啥,然后又找到这个
改一下我们的poc
curl -XPOST -H ‘Content-Type: application/json’ –unix-socket