前期准備:
靶機地址:https://www.vulnhub.com/entry/dripping-blues-1,744/
kali攻擊機ip:192.168.11.129
靶機地址:192.168.11.151
注:這個靶機有坑,別鑽死胡同。
一、信息收集
1.使用nmap對目標靶機進行掃描
發現開放了 21、22和80端口。
2. 21端口
匿名登錄:
是個zip,下載下來看一下:
發現有密碼,那就爆破一下:
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip
發現密碼 pw == 072528035 ,解壓后查看一下是一個文件和一個壓縮包,查看文件:
說注意 “dirp“ ,暫時沒明白什么意思,secret.zip 壓縮包也沒爆破出來。
3. 80端口
說 drippingblues 又被黑了,現在是 drippingblues。並且有兩個可疑用戶名:travisscott & thugger。
nmap 的掃描中發現 80 端口下有 robots.txt 文件:
給了兩個目錄:
/dripisreal.txt
說找歌詞
https://www.azlyrics.com/lyrics/youngthug/constantlyhating.html
計算n個單詞並將它們並排放置然后 md5sum
即,你好你好你好>> md5sum你好你好你好
這是ssh的密碼
試了半天也沒試出來密碼,卡了很久。
二、漏洞利用
另一個目錄是 /etc/dripispowerful.html,在 /etc 下,應該有文件包含,掃一下目錄:
有 index.php 頁面,用這個頁面做一下模糊測試,我推測是 ftp 中發現的 “drip”:
訪問成功,發現確實有文件包含,用戶 thugger 可以登陸。查看一下 /etc/dripispowerful.html 文件:
查看源碼發現密碼,應該是用戶 thugger 的, thugger:imdrippinbiatch。ssh 登錄:
登陸成功。查看文件:
發現一個 flag。
三、提權
查看其他文件和權限都沒有什么發現可利用的地方,查看下進程:
發現 polkitd,
polkit 是一個應用程序級別的工具集,通過定義和審核權限規則,實現不同優先級進程間的通訊:控制決策集中在統一的框架之中,決定低優先級進程是否有權訪問高優先級進程。
Polkit 在系統層級進行權限控制,提供了一個低優先級進程和高優先級進程進行通訊的系統。和 sudo 等程序不同,Polkit 並沒有賦予進程完全的 root 權限,而是通過一個集中的策略系統進行更精細的授權。
Polkit 定義出一系列操作,例如運行 GParted, 並將用戶按照群組或用戶名進行划分,例如 wheel 群組用戶。然后定義每個操作是否可以由某些用戶執行,執行操作前是否需要一些額外的確認,例如通過輸入密碼確認用戶是不是屬於某個群組。
在 github 上找到了它的提權漏洞
下載 CVE-2021-3560.py,賦權並運行:
得到 root 權限,查看 flag:
完成。