实训打靶记录(二)

实训靶机-2

信息搜集

端口搜集

首先通过nmap扫描靶机,发现两个端口22和3000,其中3000是一个web服务

通过dirsearch发现两个可以目录,居然是nodejs的项目

web服务搜集

顺便记录下首页出现的三个用户名tomcat、mark、rastating

简单在github上面搜索下最关键的特征词发现没有这个项目

源码泄漏

f12发现下面疑似接口泄漏

但是点进去发现原来是故意给了源码啊

用户信息泄漏

简单访问一下发现泄漏了用户名和密码

之后发现去掉latest以后还出现了admin

admin密码撞库拿到了密码manchester,拿着这个去登陆

admin用户登陆

发现登陆后有个下载备份

看了下请求信息,发现是get请求并且无传参,看来无法任意文件下载

获得备份文件

直接修改为zip发现打不开

直接打开发现是疑似base64

果然是,然后还发现有密码

爆破密码

用archpr发现爆破一年应该不能爆破,尝试下用rockyou字典得到了密码magicword

成功获取源码

数据库配置信息泄漏

发现敏感信息泄漏mark:5AYRft73VtFpc84k

登陆ssh

按照套路,尝试使用用户mark登陆ssh,登陆成功

whoami发现是普通用户权限

提权

尝试寻找特权指令

查看有无特权指令

尝试suid提权-pkexec成功

尝试suid提权,发现pkexec,联想到前段时间的pkexec本地提权

影响版本

1
2
3
4
5
6
7
8
9
10
11
12
13
CentOS系列:    
CentOS 6:polkit-0.96-11.el6_10.2
CentOS 7:polkit-0.112-26.el7_9.1
CentOS 8.0:polkit-0.115-13.el8_5.1
CentOS 8.2:polkit-0.115-11.el8_2.2
CentOS 8.4:polkit-0.115-11.el8_4.2

Ubuntu系列:
Ubuntu 20.04 LTS:policykit-1 - 0.105-26ubuntu1.2
Ubuntu 18.04 LTS:policykit-1 - 0.105-20ubuntu0.18.04.6
Ubuntu 16.04 ESM:policykit-1 - 0.105-14.1ubuntu0.5+esm1
Ubuntu 14.04 ESM:policykit-1 - 0.105-4ubuntu3.14.04.6+esm1

发现版本对上了

网上下个pochttps://github.com/berdav/CVE-2021-4034,提权成功

获取交互式shell

1
python -c 'import pyt;pty.spwan("/bin/bash")'

获取flag

一个是在/root/root.txt ;

另一个是在/home/tom/user.txt;