1. Сбор информации
Сканировать открытые порты
Порт доступа 80
10000 порт:
Webmin: инструмент для управления конфигурациями управления системой в виде веб-страниц. Можно настраивать внутренние компоненты операционной системы, такие как пользователи, дисковые квоты, службы или файлы конфигурации, а также изменять и контролировать приложения с открытым исходным кодом. Удобная операционная система.
Порт 20000 также является портом входа в систему.
сканировать информацию каталога
Посетите каталог домашней страницы и просмотрите исходный код домашней страницы.
Откройте для себя зашифрованный контент. Язык brainfuck использует восемь символов ><+-., [] для замены различных грамматик и команд языка C.
Расшифровка следующая: https://www.splitbrain.org/services/ook
Для протокола, возможно, пароль.
2. Атака через уязвимости
Ранее сканированные порты доступны на 10000 и 20000.
- Сначала попробуйте взломать слабый пароль и потерпите неудачу;
- Анализ - это система управления cms webmin, вы можете найти информацию об уязвимостях этой cms (хаотичной, нецелевой) и сохранить ее на данный момент.
Затем проанализируйте отсканированную информацию и обнаружите, что служба порта — это smb.
Служба smb — это имя протокола, которое можно использовать для веб-соединения и обмена информацией между клиентом и сервером.Через протокол SMB клиентское приложение может читать и записывать файлы на сервере в различных сетевых средах, а серверная программа делает запрос на обслуживание.
Enum4linux: это инструмент для перечисления служб SMB в системах Windows и Linux, который может обнаружить следующее:
- членство в домене и группе
- список пользователей
- Общие ресурсы (диски и папки) на устройстве
- Политика паролей на цели
- Операционная система удаленной цели
Попробуй зайти в webmin по взломанному юзеру и расшифрованному паролю
Порт 20000 может войти
Проанализируйте места, которые могут использовать пользователи, и просмотрите значок оболочки cmd.
Нажмите, чтобы войти в оболочку, просмотреть файлы, просмотреть разрешения, изменить оболочку
3. Эскалация прав
Всякий раз, когда вы видите копию двоичного файла, вы должны проверить его возможности и программы suid.
Запросите функцию файла tar в текущем каталоге: getcap tar
возможность tar cap_dac_read_search=ep позволяет читать любой файл
Файл резервной копии пароля найден, но не имеет разрешений
Используйте tar, чтобы упаковать его, а затем разархивировать, проблем с разрешением не будет.
Получить резервный пароль, сменить пользователя root
Эскалация прав прошла успешно и флаг получен