Help Desk

经过第一篇文章，我思考了一下，已经存在太多的 walkthrough，不应该再去写一样的文章，而是应该着重写思路。接下来的文章，会着重写在什么情况下，应该做些什么，应该注意哪些信息，应该如何采取下一步操作。这样，才能让举一反三的过程更加顺利，和大家一起成长的速度才能更快。

Oopsie Walkthrough Video！:D

HTB-Oopsie

这是一个 Web Application and Privilege Escalation 的练习。

Nmap

第一步不变, nmap 一下。

这些天又读了很多文章，除了 nmap，还有很多优秀的扫描工具，如 masscan, unicorn scan, 值得一看

Unicorn Scan Link.

Masscan Link.

Nmap 结果:

Starting Nmap 7.80 ( https://nmap.org ) at 2020-04-17 04:51 EDT
Nmap scan report for 10.10.10.28 (10.10.10.28)
Host is up (0.23s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 61:e4:3f:d4:1e:e2:b2:f1:0d:3c:ed:36:28:36:67:c7 (RSA)
|   256 24:1d:a4:17:d4:e3:2a:9c:90:5c:30:58:8f:60:77:8d (ECDSA)
|_  256 78:03:0e:b4:a1:af:e5:c2:f9:8d:29:05:3e:29:c9:f2 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: Welcome
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/
.
Nmap done: 1 IP address (1 host up) scanned in 16.61 seconds

22 和80 开放.

SSH 服务还是挺可靠的，意思就是很难有可发掘的漏洞，要么就去爆破登录密码，但是基本很难成功。

目标肯定要落在 80 端口的网站上面。

当遇到一个网站，该做些什么？

1. 查看 /robots.txt是否存在，如果存在，网站的部分目录结构一目了然。
2. 一定要看网页源码，在 firefox 中可以按 CTRL + U。寻找任何可可能泄露信息的地方，注释，以及 js代码。
3. 着重浏览一下 js代码，他会告诉你这个网页想要做什么，这些很可能是线索。
4. 如果源码中没有有用的信息，该去点点网页上的按钮了，或者改变一下地址栏，触发一些报错，看网站是否有合规的错误处理，如果没有，那么网站后端的技术栈信息，很可能就泄露了。
5. 最后当然还要读一下网页上的文字，很可能发现一些线索，可以让我们能进行到下一步。

扩展阅读

我列举了一些在 Web App Pentest 中需要注意的事情，下面这篇文章讲解更加详细，值得一看。

Web application pentest cheet sheet.

在这个练习中，通过做上述的第四步，就可以发现，网页声称需要登陆来获取相关服务。

在这里插入图片描述

• 线索：网页说需要登录，但是找不到任何登录入口
• 思路：登录入口隐藏在网站某个目录，没有公开
• 操作：使用诸如 dirbuster，gobuster，dirb，Burp Suite这些 WebApp分析爆破工具，找到隐藏的网站目录。这里推荐 dirbuster，运行较快，也较精准，可以递归搜索，能生成报告，并且 GUI 支持直接在浏览器打开目标链接

在这里插入图片描述
在这里插入图片描述
很快就找到了 /uploads，/cdn-cgi/login，这些文件夹，相信这个登录页面肯定就在 /cdn-cgi/login 这个目录里。 在这里插入图片描述
在 Results 一栏中可以看到精确的路径以及状态码，这个 index.php，是可以访问的。

直接右键到浏览器打开。

在这里插入图片描述
到了这里，又是一个页面，我又重复了上面5个操作，但是什么信息都没找到。结果这个练习和第一个是相关联的，第一个练习中获取的 admin 的密码，在这里依旧可以用。

登录信息是，admin，MEGACORP_4dm1n!!。

在这里插入图片描述

源码没什么，点上面的按钮，页面上也没什么内容，点上面的按钮，到 Uploads 的时候，被告知权限不够。

在这里插入图片描述

我是 Admin，还有个 super admin。

• 线索：网站有 super admin 身份，现有的账号登录上去是 admin
• 思路：表单登录，需要检查一下登录请求，找到能判断身份的参数
• 操作：Burp Suie，截取请求，先找到判断身份的参数

账户信息是在 Account 一栏里面，点击一下，截取请求。

在这里插入图片描述
请求里面有一个参数 id，并且带上了 cookie，网页给我们返回了当前用户的 Access ID 和 Name。 在这里插入图片描述
在这里插入图片描述
刷新一下 Uploads 页面，请求的时候没有参数 id，而是带上了标识用户身份的 cookie 信息。

• 线索：服务端判断身份的参数是 id，服务端根据 id 返回对应的 user 和 role，存入 cookie；当要访问 Uploads 页面的时候，带上这个 cookie，就能判断是否是 super admin
• 思路：如果能不断尝不同的 id 值，是不是可以试出 super admin 的 id
• 操作：Burp Suite Intruder 不断使用顺序 id 值 （1-500）去请求，看返回结果是否会有 super admin

小贴士：
Intruder 工作过程中，点击 Length 将返回结果长度按降序排列，如果有明显大于其他长度的结果，可能就已经命中目标

在这里插入图片描述
成功获取到 super admin 的 Access ID。

• 线索：获得 super admin 的 Access ID
• 思路：使用该 Access ID 访问 Uploads 页面
• 操作：截取对于 Uploads 目录的访问请求，将请求中的 user 改为 86575

在这里插入图片描述 在这里插入图片描述

成功进入 Uploads 页面。

• 线索：因为是 super admin，可以上传任意文件（应该不会有 super super admin了）
• 思路：获取目标机器控制的方式，第一步是设法得到一个 shell；网站后端是 php，可以上传一个包含 php reverse shell 的文件，直接在浏览器访问，代码就可以成功被执行；当然要注意，要考虑目标机器有 AV 的可能，代码中不要出现类似 pwn 这样的敏感词，会被系统拦截
• 操作：上传 Kali 自带的 php reverse shell，修改文件名，然后在浏览器访问执行

扩展阅读

Meterpreter Shell概览

从哪里找 php reverse shell？

• /usr/share/webshells/php/php-reverse-shell.php
• PentestMonkey
• Reverse Shell CheetSheet

在这里插入图片描述
修改 IP 和 PORT，具体操作见视频。

上传的时候，同样要截取请求，用 super admin 身份上传才能成功。

在这里插入图片描述

• 线索：reverse shell 文件已经上传，需要找到路径执行
• 思路：记得用 dirbuster 搜索登录入口的时候，有一个 /uploads 目录，上传的文件应该都存放在这里
• 操作：本地侦听代码中设定的端口号，然后浏览器访问 10.10.10.28/uploads/image-processing.php

在这里插入图片描述

当获得了一个 shell，进入了目标机器，该做些什么？

1. 查看用户信息 - id
2. 查看当前目录里的文件 - ls -al
3. 注意敏感文件和目录 - .bashrc .ssh .config .cache
4. 查看用户当前 shell - echo $SHELL 如果没有输出，需要生成一个可交互 shell
5. 查看 bash 是否存在 - which bash
6. 查看 python 是否存在 - which python which python3
7. 生成交互 shell - SHELL=/bin/bash script -q /dev/null python3 -c 'import pty;pty.spawn("/bin/bash")'
8. 查看网站根目录，查找配置文件包含的敏感信息 - /var/www/html
9. 查看临时文件夹 - /tmp
10. 如果有用户的登录密码，列举出用户可以使用 sudo 执行的命令 - sudo -l

扩展阅读

值得一读的文章，列出了很多 linux 的敏感文件和目录。
Basic Linux Privilige Escaaltion

这篇文章将了 script 命令的作用，看完就能理解为什么用它生成交互 shell
Script Command

在这里插入图片描述

• 线索：在网站目录下找到了另一个登录信息
• 思路：因为是 mysql_conn，可以登录数数据库，但是登录了数据库没什么可以干的，破坏数据不能达到控制目标的目的；还可以试一下用 ssh 登录
• 操作：用登录信息尝试 ssh 到服务器
  在这里插入图片描述
  成功登录。

上面提到了进入了目标机器之后要做的事情，这里依旧要做。

在这里插入图片描述

• 线索：id 命令之后发现用户在一个特别的组里 bugtracker
• 思路：添加用户到某个特定的组，是为了让用户能有执行某些命令的权限，通常这些程序或这命令的名字，会跟组名相同（例如virtualbox 会将用户添加到 virtualbox 组中）

• 查找一下系统中跟组名相同的文件

  
  在这里插入图片描述

当找到一个敏感文件，该做些什么？

1. 查看文件详细信息，设置了 setuid/setgui 权限并且拥有者是 root 是最希望看到的结果 - ls -al
2. 如果是可执行文件，运行，并尝试多种输入，尽可能触发错误，能收集更多信息

在这里插入图片描述

• 线索：程序设置了 setuid/setguid 的特殊权限
• 思路：如果程序可能被串改，运行自定义的脚本，就可以提权得到 root shell
• 操作：先运行一下程序，观察程序行为

扩展阅读

Setuid/Setgui Special Permission

在这里插入图片描述

• 线索：触发错误之后看到程序其实是调用系统 cat 命令，到根目录下读取相应文件
• 思路：构造一个自定义的 cat 可执行文件，内容就是生成一个 bash shell，然后想办法让 bugtracker 调用自定义的 cat 即可
• 操作：自定义一个 cat 可执行文件，将其所在目录添加到 $PATH 环境变量，然后再次执行 bugtracker

在这里插入图片描述

I'm in :D