在本文中,我们将尝试完成另一个“CanYouPwn.Me”在VulnHub网站上发布的CTF挑战。记录完成挑战的完整过程,本次挑战中将利用以下web漏洞:路径遍历漏洞、SQL注入漏洞和服务器端请求伪造漏洞
下载VM并在VirtualBox中运行它的链接如下所示:
https://download.vulnhub.com/6daylab/6Days_Lab-v1.0.1.ova
Torrent下载URL也可用于此VM,您可以在本文的参考部分找到该下载URL 。
在本文中,我们将利用以下Web应用程序漏洞:
- 路径遍历漏洞;
- SQL注入漏洞;
- 服务器端请求伪造(SSRF)漏洞。
注意:由于这是CTF演练,因此我不会涵盖上述漏洞的基本知识。
步骤1
在VirtualBox.com上下载并运行本机后,我开始运行Netdiscover命令以获取目标机器的IP地址。命令输出可以在下面给出的屏幕截图中看到:
使用的命令:netdiscover
如上图所示,我们获得了虚拟机的IP地址,即192.168.11.20(目标机IP地址)。
我们现在将使用192.168.11.16作为攻击者IP地址。
请注意:目标和攻击者机器IP地址可能在网络配置上有所不同。
步骤2
第一步总是找出目标机器上可用的端口和服务。Nmap全端口扫描用于此目的。这在以下屏幕截图中进行了说明:
使用的命令:
nmap 192.168.11.20 -v -Pn -p- {这里-v用于详细模式,-Pn用于No Ping扫描,-p-用于全端口扫描}
Nmap扫描结果在目标机器上提供了两个开放端口。一个端口是HTTP-proxy / 8080。它被过滤了,因此引起了我的注意。因此,我在笔记本上标记了这些信息供以后参考。
当我在Web浏览器上打开目标计算机IP时,它打开了关于特定入侵防御系统(IPS)的网页。你可以在上面的截图中看到。根据主页上的信息,目标机器最近推出了全新的IPS产品。这也被用来监控自己网站的安全。
与往常一样,我开始探索应用程序中的漏洞。我找到了我的第一个入口点,我们可以在网页上输入促销代码。我开始探索此参数来查找其他类型的漏洞。然而,我没有得到任何东西,因为我的所有请求都被目标应用程序上实施的IPS阻止。IPS错误信息可以在以下屏幕截图中看到:
从上面的截图可以看出,我试图在URL中添加一个单引号来验证任何基于错误的SQL注入,但是IPS阻止了该请求。之后,我尝试模糊参数,但所有有效载荷也被IPS阻止。我也尝试过不同的编码技术来绕过IPS,但在这方面也没有取得任何成功。
步骤3
我在目标机器上运行Dirb实用程序来枚举其他可能的网页和目录。它给了一些有用的目录,可以进一步探索。您可以在下面的截图中查看DirB输出:
使用的命令:
dirb http://192.168.11.20
从Dirb输出中,我逐个检查了所有已识别的目录,但IPS阻止了所有内容。在下面的截图中可以看到:
正如您在上面的屏幕截图中看到的那样,我尝试使用curl实用程序访问URL。但是,我得到了一个服务器响应,说“恶意请求被阻止”。
所以,我又回到了目标机器上的主页。我会密切观察页面的HTML内容以获取更多线索; 那里我在image.php页面找到了一个“src”参数。这是试图从外部来源调用图像。在下面的截图中可以看到:
我想到的第一件事情是它可能容易受到远程文件包含(RFI)的影响,但它不是那么容易。在测试URL中其他可能的漏洞时,我发现“src”参数容易受到路径遍历漏洞的攻击。我通过利用src参数提取/ etc / passwd文件。这在以下屏幕截图中进行了说明:
使用的有效负载:
../../../../../etc/passwd
从/ etc / password文件中,我们可以看到目标系统上有两个用户是“user”和“andrea”。Andera的shell设置为/ bin / andrea。
接下来,我尝试提取目标系统上可用的其他文件。在下面的截图中可以看到目标机器上找到的这些文件之一:
从突出显示的区域可以看出,用户输入参数直接与MySQL查询进行交互。这意味着它很容易发生SQL注入攻击。但是,由于在应用程序中启用了IPS,所以我们无法利用SQL注入,它会阻止请求。
接下来,我通过利用路径遍历漏洞提取Apache默认配置文件。这在上一步中已经确定。在下面的截图中可以看到:
从Apache配置的屏幕截图中可以看到,8080端口上还有另一个网站服务正在运行。但是,由于它被过滤,因此它不可公开访问。所以,我试图通过探索路径遍历漏洞和服务器端请求伪造(SSRF)的组合在本地访问该端口的希望的IPS可能端口被禁用无8080当IPS服务被禁用,我们就可以利用SQL注入漏洞从数据库中获取信息。
首先,我尝试访问可在屏幕截图中看到的index.php:
从上面的屏幕截图可以看出,我们可以在端口8080上获得响应。现在我们可以验证IPS是否在此端口上被禁用。我试图用参数值添加单引号。这可以在下面的截图中看到:
该请求再次被阻止; 这意味着IPS也在端口8080上运行。在花了一些时间并使用一些编码技术之后,我可以通过使用双重URL编码有效载荷来绕过它。这可以在下面的截图中看到:
让我们在参数中输入这个编码的有效载荷,看看它是否也被绕过。
正如你在上面的截图中看到的那样,我能够绕过IPS,正如我们从前面的步骤中已经知道的那样,一个参数很容易被SQL注入。所以,让我们尝试通过使用SQLmap来利用它。为此,我们将不得不运行Path Traversal + SSRF + SQL Injection组合的漏洞利用。因此,让我们对Burp Suite做一些小修改,以便与SSRF一起工作。
首先,我们必须打开比赛并替换Burp Suite中的部分。这可以在下面的屏幕截图中突出显示的区域中看到:
接下来,我点击添加按钮,一个弹出窗口将打开。我现在必须添加匹配条件,如下面的截图所示:
保存此配置后,Burp Suite将自动更改URL。这可以在以下屏幕截图中看到:
我们可以在上面的屏幕截图中看到Burp Suite正在接受我们的配置并自动将请求修改为我们已经配置的请求。接下来,我运行SQL映射来利用SQL注入漏洞。
我试图在URL上运行SQLmap,但由于IPS的存在,SQLmap无法工作。要绕过防火墙,某些特殊字符需要经过双重URL编码才能执行。这可以在下面的截图中看到:
使用的命令:
sqlmap -r sqlmap -risk = 3 -level = 5 -proxy = http://127.0.0.1:8080 -tamper = chardoubleencode -dbms = mysql -dbs
因此,我们成功地利用了SQL注入并获得了用户“andrea”的密码。正如我们所知,目标系统上已经存在andrea,所以我尝试在目标系统上使用此密码进行ssh登录。这在以下屏幕截图中进行了说明:
登录凭证是正确的。因此,我们终于得到了用户访问目标机器的权限。
在获得用户对目标系统的访问权后,我接下来尝试运行命令以进行进一步分析。但是,似乎这些命令正在执行,但没有显示输出。我还注意到符号’/’也被阻塞在目标机器上。这可以在下面的截图中看到:
在上面的屏幕截图中,执行命令返回的错误消息显示了有关受限shell的一些信息。这是一个’rbash’限制壳。因此,我们必须找到另一种在目标系统上执行命令的方式。
使用的命令:
- nc –lvp 4444 {on another terminal to, listening on port 4444 for reverse connection}
{Python command to get the other reverse shell}
从上面的截图可以看出,我们执行了一个命令来获得另一个将绕过目标机器上rbash限制的反向shell。现在,我们可以运行命令来浏览机器或尝试获取root访问权限。
使用的命令:
cat / etc / issue
从上面的截图可以看出,目标机器正在运行Ubuntu 12.04.5。谷歌搜索给了我一个本地漏洞利用,以提升root权限。如下所示:
接下来,我将漏洞下载到本地系统,并使用wget命令将其转移到目标系统。这可以在下面的截图中看到:
现在,漏洞被下载到目标机器上。接下来,我编译漏洞并运行它。
命令
This command is to compile the Exploit by using the gcc compiler.
This command gives executable permission to the exploit.
This command runs the exploit to get the root.
从上面的屏幕截图可以看出,我们已经获得了目标机器上的根访问权限。挑战现已完成。
参考文献:
- https://www.vulnhub.com/entry/6days-lab-11,156/
- https://download.vulnhub.com/6daylab/6Days_Lab-v1.0.1.ova
- https://download.vulnhub.com/6daylab/6Days_Lab-v1.0.1.ova.torrent {Torrent下载}
- https://www.exploit-db.com/exploits/37292/
- http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet
本文由绿盟科技博客翻译,原文链接:http://resources.infosecinstitute.com/6-days-lab-1-1-ctf-walkthrough/