vulnhub靶場之LOOZ: 1
準備:
攻擊機:虛擬機kali、本機win10。
靶機:looz: 1,下載地址://download.vulnhub.com/looz/Looz.zip,下載後直接vbox打開即可。
知識點:可疑文件提權、hydra爆破、dns解析、polkit漏洞提權(CVE-2021-4034)。
信息收集:
通過nmap掃描下網段內的存活主機地址,確定下靶機的地址:nmap -sn 192.168.110.0/24,獲得靶機地址:192.168.110.67。
掃描下端口對應的服務:nmap -T4 -sV -p- -A 192.168.110.67,顯示開放了22、80、3306、8081端口,開啟了ssh、http、mysql服務。
訪問下http服務://192.168.110.67/,並檢查源代碼信息,發現一組賬戶信息:jphn/y0uC@n’tbr3akIT,說是wp的登錄賬戶。
目錄掃描:
使用dirmap對://192.168.110.67/和//192.168.110.67:8081進行目錄掃描,發現了一個登錄地址://192.168.110.67:8081/wp-login.php。
DNS解析:
使用獲得賬戶信息:jphn/y0uC@n’tbr3akIT在//192.168.110.67:8081/wp-login.php進行登錄,但是發現跳轉到了wp.looz.com進行了報錯。
因此我們需要添加dns解析。win:打開C:\Windows\System32\drivers\etc\hosts文件,添加:192.168.110.67 wp.looz.com,添加之後使用賬戶信息:jphn/y0uC@n’tbr3akIT在//192.168.110.67:8081/wp-login.php,成功登錄到管理界面。
獲取shell:
在管理界面中發現了另一個管理員賬戶:gandalf,那就使用hydra進行此賬戶的密碼破解,時間比較久,差不多兩個小時。最終成功獲得密碼:highschoolmusical。
使用獲得賬戶和密碼信息:gandalf/highschoolmusical進行ssh登錄,成功獲得shell權限。
在alatar目錄下發現了user.txt文件,讀取該文件信息成功獲得flag值並且在該目錄下的Private目錄中找到了可疑文件shell_testv1.0。
可疑文件提權:
在查找第一個flag的時候發現了一個可疑文件:/home/alatar/Private/shell_testv1.0,顯示當前賬戶可執行且具有root權限,直接執行該腳本直接獲得root權限並在/root目錄下發現root.txt文件並讀取flag值。一般是通過:find / -perm -4000 -type f 2>/dev/null來查找可疑文件的。
polkit漏洞提權:
那我們查看當前用戶下具有root權限的可執行文件都有哪些,命令:find / -perm -4000 -type f 2>/dev/null,發現了:/usr/lib/policykit-1/polkit-agent-helper-1,那可能存在polkit漏洞。經驗證這裡的polkit漏洞是CVE-2021-4034。上傳該漏洞的exp直接執行即可獲得root權限。exp鏈接://pan.baidu.com/s/1TEfF3J2v1TOxeA2Jg_XMSg,提取碼:upfn。
