JIS-CTF_VulnUpload靶機(jī)攻略是什么

本篇文章給大家分享的是有關(guān)JIS-CTF_VulnUpload靶機(jī)攻略是什么，小編覺(jué)得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說(shuō)，跟著小編一起來(lái)看看吧。

vulnhub 是我喜愛(ài)的游樂(lè)場(chǎng)之一，上面的每個(gè)靶機(jī)都是很酷的一個(gè)游戲。完整找出所有 flag 只是基本任務(wù)，實(shí)現(xiàn)提權(quán)才是終極目標(biāo)。我并不追求最快奪旗，而是盡可能運(yùn)用完整攻擊鏈入侵靶機(jī)，所以，這篇攻略中，或許某些內(nèi)容對(duì)奪旗無(wú)直接幫助，但在應(yīng)對(duì)真實(shí)目標(biāo)時(shí)，你應(yīng)該考慮。

靶機(jī) "JIS-CTF: VulnUpload" 含有 5 個(gè) flag、初級(jí)難度，平均耗時(shí) 1.5 小時(shí)可完成攻擊。你可以從 https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/ 獲取 virtualbox 格式的鏡像，導(dǎo)入后立即可玩：

JIS 虛擬機(jī)為 DHCP，我得想法找出它的 IP。nmap 的 -sn 選項(xiàng)用于探測(cè)主機(jī)存活性：

很快，找到 4 個(gè)存活 IP。其中，56.1 為我主系統(tǒng) IP，56.2 為 DHCP 服務(wù)器，56.5 顯示 localhost-response 為本機(jī)（kali），所以，JIS 的 IP 為 192.168.56.6。

一、系統(tǒng)服務(wù)發(fā)現(xiàn)

拿到 IP 第一要?jiǎng)?wù)當(dāng)然是分析服務(wù)。nmap 的 -O、-sV 兩個(gè)命令行參數(shù)可用于此：

可知，JIS 在 22 端口開(kāi)啟了 SSH（OpenSSH 7.2p2）、80 端口開(kāi)啟 HTTP（Apache httpd 2.4.18）等兩個(gè)服務(wù)。另外，操作系統(tǒng)為 ubuntu。這三個(gè)信息將成為下個(gè)階段的主要攻擊面。

二、系統(tǒng)漏洞分析

針對(duì) SSH 服務(wù)，我習(xí)慣從弱口令和系統(tǒng)漏洞兩方面進(jìn)行攻擊。弱口令方面，我用常見(jiàn)用戶名和常見(jiàn)密碼進(jìn)行暴破，雖然幾率不大：

短時(shí)間跑不完，先放這兒，后續(xù)再看。

SSH 服務(wù)的系統(tǒng)漏洞查找方面，我推薦 searchsploit 工具。精確搜索 OpenSSH 7.2p2：

存在用戶名可枚舉漏洞，剛好，要能找到有效用戶名，將有助于暴破 SSH 口令。立即用 EXP 試試：

試過(guò)幾次，結(jié)果都不一樣，感覺(jué)這個(gè) EXP 不可靠。或許是搜索條件太苛刻，不帶版本號(hào)，直接搜索 openssh 看看有無(wú)其他漏洞：

其中，有兩個(gè)可考慮，依次為本地提權(quán)的漏洞、遠(yuǎn)程命令執(zhí)行漏洞。哇，很誘人，不過(guò)很遺憾，都用不了。對(duì)前者而言，當(dāng)前沒(méi)用任何據(jù)點(diǎn)（如 webshell），還談不上提權(quán)操作，當(dāng)前只能先放放，后續(xù)可能用的上；對(duì)后者來(lái)說(shuō)，利用條件非常嚴(yán)苛，攻擊者必須拿到 forwarded agent-socket 的控制權(quán)，而且目標(biāo)必須 SSH 登錄攻擊者所控制 forwarded agent-socket 的那臺(tái)機(jī)器，才可能讓目標(biāo)加載指定 *.so，實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。罷了，SSH 系統(tǒng)漏洞暫時(shí)就不深入了。

apache 服務(wù)看下有無(wú)可利用的漏洞：

先前服務(wù)探測(cè)時(shí)找到的準(zhǔn)確版本為 apache httpd 2.4.18，那么只有一個(gè)漏洞內(nèi)存泄漏的漏洞，沒(méi)多大價(jià)值。

這個(gè)階段系統(tǒng)漏洞只能分析到這個(gè)程度，雖然知道發(fā)行套件為 ubuntu，但不知道具體版本、系統(tǒng)架構(gòu)，很難準(zhǔn)確的找到可用的操作系統(tǒng)漏洞，所以，沒(méi)必要繼續(xù)在系統(tǒng)漏洞層面耗時(shí)，后續(xù)如果能拿到 webshell，提權(quán)時(shí)再來(lái)深入分析，現(xiàn)在移步 web 應(yīng)用層面。

三、web 內(nèi)容發(fā)現(xiàn)

訪問(wèn)之前找到的 web 端口自動(dòng)重定向到 http://192.168.56.6/login.php：

看了下 html 源碼，沒(méi)啥有價(jià)值的信息；枚舉用戶名也不能；或許可以暴破下弱口令，剛才的 SSH 暴破還沒(méi)完呢，web 登錄暴破還是先放一放，看看有無(wú)其他頁(yè)面。

大概 2015 年之前，掃 web 端口 – 找 web 后臺(tái) – 弱口令登后臺(tái) – 上傳一句話，是常見(jiàn)的高成功率的攻擊手法，其中，能否找到后臺(tái)地址，是成功的關(guān)鍵。換言之，我需要發(fā)現(xiàn)更多 web 內(nèi)容。具體而言，我希望找到更多文件、頁(yè)面、子目錄，最好能找到源碼打包的敏感文件、后臺(tái)運(yùn)維的管理頁(yè)面、存放業(yè)務(wù)邏輯的子目錄，以拓展攻擊面。通常，我習(xí)慣結(jié)合枚舉和爬蟲兩種方式來(lái)發(fā)現(xiàn) web 內(nèi)容。

枚舉 web 內(nèi)容的工具很多，其實(shí)，你手上的 burp 內(nèi)置了強(qiáng)大的子目錄枚舉功能，但常被你忽略。訪問(wèn) http://192.168.56.6/，讓流量過(guò) burp 后，立即展示出初始站點(diǎn)目錄結(jié)構(gòu)：

通過(guò) engagement tools - discover content，啟用子目錄枚舉功能：

枚舉之前，借助 firefox 插件 wappalyzer 確認(rèn)后端語(yǔ)言為 php：

簡(jiǎn)單設(shè)置，讓 burp 只枚舉 php 類型的頁(yè)面，忽略 aspx、jsp 等等其他語(yǔ)言，以提高效率：

很快，枚舉出不少新頁(yè)面：

你看，比先前多了些頁(yè)面和目錄，如，logout.php、server-status/。逐一查看，沒(méi)啥有價(jià)值的內(nèi)容。

接下來(lái)，我用另一個(gè)工具 dirsearch 再次枚舉子目錄，與 burp 互補(bǔ)，獲得更多 web 內(nèi)容。高效和可配置是 dirsearch 的特色，同樣，用 --extension 選項(xiàng)設(shè)定只枚舉 php 類型的頁(yè)面，忽略 aspx、jsp 等等其他語(yǔ)言：

從輸出結(jié)果 out.txt 中查看 HTTP 應(yīng)答成功（200）的頁(yè)面有 5 個(gè)：

依次訪問(wèn)這幾個(gè)頁(yè)面且讓流量過(guò) burp，站點(diǎn)目錄結(jié)構(gòu)如下：

子目錄枚舉，大概就到這個(gè)程度，接下來(lái)，爬取站點(diǎn)。

爬站，還是借助 burp：

很快，爬取完畢，又新增不少頁(yè)面：

朋友，玩了這么久，連個(gè) flag 的影子都沒(méi)看到？別急，這就來(lái)了。在 burp 的 site map 中搜索 flag 關(guān)鍵字，第一個(gè)匹配項(xiàng)是 http://192.168.56.6/admin_area/：

拿到第一個(gè) flag{7412574125871236547895214}；另外還拿到一組賬號(hào) admin/3v1l_H@ck3r，可能是 web 的登錄賬號(hào)、也可能是 SSH 的賬號(hào)，一會(huì)試試。搜索 flag 得到的第二個(gè)匹配項(xiàng)是 http://192.168.56.6/flag/：

得到第二個(gè) flag{8734509128730458630012095}。

四、web 應(yīng)用漏洞分析

用 admin/3v1l_H@ck3r 嘗試登錄 http://192.168.56.6/login.php：

成功，有個(gè)文件上傳功能，檢查下是否存在任意文件上傳漏洞。

隨便上傳一個(gè) php 的 webshell 試試：

icesword.php 上傳成功，存在任意文件上傳漏洞，但沒(méi)回顯上傳目錄。還記得先前 web 內(nèi)容發(fā)現(xiàn)時(shí)找到的 uploads/、uploaded_files/ 兩目錄么，嘗試訪問(wèn) http://192.168.56.6/uploads/icesword.php， 報(bào)錯(cuò)，資源不存在，訪問(wèn) http://192.168.56.6/uploaded_files/icesword.php，沒(méi)報(bào)錯(cuò)但頁(yè)面無(wú)內(nèi)容，沒(méi)事，至少清楚上傳目錄是 uploaded_files/。

我用 msfvenom 生成 MSF 的 php 反彈木馬 msf_private.php：

啟動(dòng) MSF 并監(jiān)聽(tīng)，隨后訪問(wèn) http://192.168.56.6/uploaded_files/msf_private.php，立即獲得 meterpreter 會(huì)話：

簡(jiǎn)單翻下文件：

flag.txt、hint.txt 引起我的注意。查看之，flag.txt 無(wú)訪問(wèn)權(quán)限；hint.txt 中拿到第三個(gè) flag{7645110034526579012345670}，以及一個(gè)提示信息，要想查看 flag.txt 先得找出賬號(hào) technawi 的密碼：

接下來(lái)，我需要查找用戶 technawi 的密碼。我計(jì)劃從文件名和文件內(nèi)容兩方面入手查找與 technawi 相關(guān)的信息。

我用 meterpreter 內(nèi)置的 search 命令來(lái)查找文件名中含有關(guān)鍵字 technawi 的文件：

顯示未找到。奇怪，有 technawi 用戶，那肯定有 /home/technawi/，怎么會(huì)一個(gè)都找不到。進(jìn) shell 再確認(rèn)下：

這才對(duì)嘛。所以，你看，meterpreter 內(nèi)置的 search 不可靠。逐一查看，沒(méi)發(fā)現(xiàn)有價(jià)值的內(nèi)容。

查找文件內(nèi)容中含有關(guān)鍵字 technawi 的文件：

逐一查看，在 /etc/mysql/conf.d/credentials.txt 中找到第四個(gè) flag{7845658974123568974185412}，以及一組賬號(hào) technawi/3vilH@ksor：

五、登錄系統(tǒng)

用賬號(hào) technawi/3vilH@ksor 成功登錄系統(tǒng)：

再次查看 flag.txt，拿到第五個(gè) flag{5473215946785213456975249}：

六、提權(quán)

最開(kāi)始我就說(shuō)過(guò)，flag 并不是我玩靶機(jī)的唯一目標(biāo)，提權(quán)也很有意思。剛要查看內(nèi)核版本準(zhǔn)備對(duì)應(yīng) exp 時(shí)，朦朧記得在 technawi 的 home/ 目錄中，看過(guò) .sudo_as_admin_successful 文件：

哇，運(yùn)氣不錯(cuò)，這說(shuō)明 technawi 可以用自己的密碼切換為 root 用戶：

就這樣，完成所有 flag 搜集、成功提權(quán)！

以上就是JIS-CTF_VulnUpload靶機(jī)攻略是什么，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見(jiàn)到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。