声明:该篇文章仅供学习网络安全技术参考研究使用,请勿使用相关技术做违法操作。本公众号的技术文章可以转载,能被更多人认可本文的创作内容属实荣幸之至,请在转载时标明转载来源即可.也欢迎对文章中出现的不足和错误进行批评指正!
实战打靶系列第 17 篇文章
对1337、3306进行端口发现。
1337跑的是SSH服务,版本7.9,如果把默认端口改掉,先进行nmap全端口扫描,里面使用指纹扫描,探测应用层面返回信息进行判断服务。
目标系统debian 10+。mysql 版5.5.5。
下面那个mysql_native_pasword支持远程登录。
接下来选择从SSH开始。
没有发现任何针对7.9已知漏洞。
存在代码执行漏洞和提取的漏洞。但是只针对5.5.51和5.6.32、5.7.14。
然后在利用这个第一种漏洞进行漏洞利用代码行不通,因为只针对具体的数据库。
接下来进行以上服务的密码爆破。
这里显示目标22端口拒绝连接登录。修改命令:
但是最终跑完也突破不了。
现在拿到mysql的账号和密码,进行登录。
接下来对目标服务器发起攻击。
然后如果存在这种漏洞,执行bash 直接就能获得目标shell的执行权限。
运行ip a查看IP,发现在自己主机。
现在发现使用这种指令执行是失败的。所以先退出本主机IP。
现在再找别的方法,尝试读取目标系统系统文件。
这里面包括很多系统、各种服务的默认运行账号。
其中发现了一个用户账号lucy,而且可以登录。
既然这里能读取文件,就对mysql常见的默认文件进行尝试读取。
然后尝试了挺多文件都没有什么发现。
然后尝试读取lucy的文件,比如SSH文件
现在以上文件都没有读取有效文件。进行查看数据库。
然后查看系统数据库。只有默认的库。
gAAAAABfMbX0bqWJTTdHKUYYG9U5Y6JGCpgEiLqmYIVlWB7t8gvsuayfhLOO_cHnJQF1_ibv14si1MbL7Dgt9Odk8mKHAXLhyHZplax0v02MMzh_z_eI7ys= | UJ5_V_b-TWKKyzlErA96f-9aEnQEfdjFbRKt8ULjdV0=
前面字段是cred,后面字段是keyy。像是base64编码。
然进行尝试解密
看来不是base64编码。
然后又看回表名,这个fernet好像跟什么加解密方式有关。
官方站点解释了怎么实现利用crytography实现加解密。首先会随机生成一个key密钥内容,这个key可以创建实例化叫做F,然后调用F进行数据加密,这个数据可以是任何数据。
下面进行解密。
b'lucy:wJ9`"Lemdv9[FEw-'
看起来是lucy的密码,进行SSH登录
进来之后进行信息收集。
这里针对内核版本利用并没有利用成功。
那么还是对于上面的exp.py代码想想怎么利用吧。
看到这个exec函数,一般都是执行系统指令的。
然后查看指令帮助,了解到执行文件之后,还能使用指令能动态执行python代码。即:如果在原来exp.py加上代码,也能被执行。
然后,第二个flag拿下了,这台靶机就拿下了。
参考资料:
https://www.aqniukt.com/goods/show/2434?targetId=16289&preview=0